随着物联网设备不断融入人们的日常生活,物联网设备与互联网的连接就成为不可缺少的条件。那么物联网设备接入互联网时,又如何确保网络通讯的安全呢?下面分享几种实现安全接入的方法
dot1x
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
端口分类
受控端口 {身份验证}
非控端口
端口控制方式
基于端口
基于mac地址 最大条目256
AAA
AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”
1、 验证(Authentication): 验证用户是否可以获得访问权限。
2、 授权(Authorization) : 授权用户可以使用哪些服务。
3、 记账(Accounting) : 记录用户使用网络资源的情况。
实现AAA服务器的两钟方式
1.Windows IAS
2.Cisco ACS
RADIUS(Remote Authentication Dial In User Service)协议是在IETF的RFC2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。
VPN
虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。
按VPN的协议分类:
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
按VPN的应用分类:
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
实现方法
1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
2.软件VPN:可以通过专用的软件实现VPN。
3.硬件VPN:可以通过专用的硬件实现VPN。
4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
VPN的集中常见技术
1.MPLS VPN
2.SSL VPN
3.IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
vpn特点:
1.廉价
2.安全 {pptp ipsec l2tp/ipsec }
3.延迟大
ipsec
IPSec是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯
安全服务
1.身份验证 pre-shared key
2.完整性 md5/sha
3.抗重播 32位计数器
4.保密性
ipsec的几种协议
(1)AH(AuthenticationHeader) 协议。(验证头协议)
它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
(2)ESP(EncapsulatedSecurityPayload) 协议。安装封装载荷
它提供 IP层加密保证和验证数据源以对付网络上的监听
具有:身份验证、完整性、抗重播、保密性
安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。
密钥管理协议 ISAKMP, 提供共享安全信息。Internet密钥管理协议被定义在应用层,IETF规定了 Internet安全协议和 ISAKMP(Internet Security Association and Key Management Protocol) 来实现 IPSec 的密钥管理,为身份认证的 SA 设置以及密钥交换技术
ipsec的工作模式:
1、传输模式 无VPN服务器
2、隧道模式 至少有一个 VPN serve
案例:
基于端口的验证
本地验证
有验证服务器(集中验证)
基于mac地址的验证
本地验证(无验证服务器)
集中验证(有验证服务器)
案例1
三个vlan动态获得IP,实现端口控制,采用集中验证方式
设备:f100-c 防火墙,交换机,win2003
先实现AAA服务器和dhcp
AAA
和客户端的沟通秘钥
这个可能会影响,所以删掉吧
选择服务器的链接属性,选择加密方式
创建本地账户
允许账户拨入访问
交换机配置
[sw1]vlan 10 [sw1-vlan10]port eth0/10 [sw1-vlan10]vlan 20 [sw1-vlan20]port eth0/20 [sw1-vlan20]vlan 30 [sw1-vlan30]port eth0/22 [sw1-vlan30]int eth0/24 [sw1-Ethernet0/24]port link-type trunk [sw1-Ethernet0/24]port trunk permit vlan all [sw1]int vlan 1 [sw1-Vlan-interface1]ip add 192.168.1.100 255.255.255.0 [sw1]ip route-static 0.0.0.0 0 192.168.1.1 [sw1]dot1x **启用dot1x [sw1]int eth0/10 [sw1-Ethernet0/10]dot1x **在接口下启用 [sw1-Ethernet0/10]int eth0/20 [sw1-Ethernet0/20]dot1x [sw1]radius scheme xxx **创建AAA客户端方案 [sw1-radius-xxx]primary authentication 192.168.30.100 **验证服务器IP [sw1-radius-xxx]key authentication 123456 **与验证服务器沟通秘钥 [sw1-radius-xxx]server-type standard **服务器类型 [sw1-radius-xxx]accounting optional **审计可选 [sw1-radius-xxx]user-name-format without-domain **用户名格式,不加域名 [sw1]domain yyy **创建域 [sw1-isp-yyy]radius-scheme xxx **引用AAA方案 [sw1-isp-yyy]access-limit enable 10 [sw1]dot1x authentication-method pap **验证方法改为pap
防火墙配置
配置完成
测试工具
用ACS 实现AAA服务器配置
(只改变AAA服务器就行)
ipsec
原理:
工作模式
在h3c设备上实现ipsec的步骤
案例:
端口的绑定
mac+port
arp绑定
三层设备的绑定
案例:
本文出自 “监督局” 博客,请务必保留此出处http://shuoshuo234.blog.51cto.com/10531943/1690003
原文地址:http://shuoshuo234.blog.51cto.com/10531943/1690003
