华为网络设备上常用的安全技能51CTO博客 - 凯发娱乐

华为网络设备上常用的安全技能51CTO博客

2019-01-03 19:36:18 | 作者: 寻巧 | 标签: 安全,技能,端口 | 浏览: 2456

 华为网络设备上常用的安全技能:

概述:

ACL           AM           MAC        ARP        AAA     Dot1x

文章目录:

安全技能1:ACL(拜访操控列表)

安全技能2:AM(拜访办理装备)

安全技能3:MAC绑定

安全技能4:ARP绑定

安全技能5:AAA

安全技能6:802.1x

安全技能1:ACL

阐明:ACL(Access Control List,拜访操控列表) ACL便是经过装备对报文的匹配规矩和处理操作来完成包过滤的功用。 根本 ACL:只依据数据包的源IP 地址拟定规矩。 高档 ACL:依据数据包的源IP 地址、意图IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息拟定规矩。 二层 ACL:依据数据包的源MAC 地址、意图MAC 地址、802.1p 优先级、二层协议类型等二层信息拟定规矩。 用户自界说 ACL:以数据包的头部为基准,指定从第几个字节开端与掩码进行“与”操作,将从报文提取出来的字符串和用户界说的字符串进行比较,找到匹配的报文。(华为设备默许答应) Ø 100~199:表明WLAN ACL; Ø 2000~2999:表明IPv4 根本ACL; Ø 3000~3999:表明IPv4 高档ACL; Ø 4000~4999:表明二层ACL; Ø 5000~5999:表明用户自界说ACL。 Ø 创立时刻段:time-range

事例1-1:规范ACL试验

1. 组网需求

制止192.168.1.100/24经过telnet拜访192.168.1.1/24,其它主机不受约束

2. 组网图

3. 装备过程

int Vlan-interface 1 ip add 192.168.1.1 255.255.255.0 quit acl number 2000 rule 10 deny source 192.168.1.100 0 quit

运用acl之前测验:192.168.1.100能够经过telnet拜访192.168.1.1

 运用acl:

 user-interface vty 0 4

acl 2000 inbound quit

运用acl之后测验:192.168.1.100不能够经过telnet拜访192.168.1.1

192.168.1.100修正IP地址之后在测验登录,可成功登录

事例1-2:高档ACL试验

1. 组网需求

制止192.168.10.100/24与192.168.1.200/24之间ping测验,其它主机不受约束,其它效劳不受约束。

2. 组网图

3. 装备过程

#在交流机上进行如下装备: int Vlan-interface 1 ip add 192.168.1.1 255.255.255.0 quit vlan 10 port Ethernet 0/1 quit int Vlan-interface 10 ip add 192.168.10.1 255.255.255.0 quit

#192.168.10.100pc去ping测验192.168.1.200pc

#192.168.1.200pc去ping测验192.168.10.100pc

#装备ACL 3000

acl number 3000

rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0

quit #运用ACL packet-filter ip-group 3000 rule 10 #查看ACL信息 [S10]dis acl config all Advanced ACL 3000, 1 rule,

 rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)

[S10]dis acl running-packet-filter all  Acl 3000 rule 10 运转 #客户端进行测验:zhujunjie-pc的ip地址为192.168.10.100,zhuchaobo-pc的ip地址为192.168.1.200

zhuchaobo-pc修正ip地址为192.168.1.20之后在进行测验:能够通讯。

事例1-3:二层ACL试验二层拜访操控列表

二层拜访操控列表依据源MAC 地址、源VLAN ID、二层协议类型、报文二层 接纳端口、报文二层转发端口、意图MAC 地址等二层信息拟定规矩,对数据 进行相应处理。

1. 组网需求

运用二层ACL,制止192.168.100.100与192.168.100.200通讯

2. 组网图

注:zhujunjie-pc的192.168.100.100和MAC地址为:88ae-1dd6-489d

      zhuchaobo-pc的192.168.100.200和MAC地址为:206a-8a2e-c911 注:交流机版别为: [sw1]dis version

Huawei Versatile Routing Platform Software

VRP Software, Version 3.10, Release 0041P02

3. 装备过程

装备二层ACL之前:测验

[sw1]dis arp

IP Address       MAC Address     VLAN ID Port Name              Aging Type

192.168.100.200 206a-8a2e-c911 1        Ethernet0/22           20    Dynamic

192.168.100.100 88ae-1dd6-489d 1        Ethernet0/1            20    Dynamic #在交流机上装备ACL acl number 4000

rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet 0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet 0/22

quit #在交流机上运用ACL packet-filter link-group 4000 rule 10

[sw1]dis acl config all               Link ACL 4000, 1 rule,

 rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet0/22

[sw1]dis acl running-packet-filter all  Acl 4000 rule 10 运转

#测验

#撤销运用后,再测验

undo packet-filter link-group 4000 rule 10

安全技能2:AM拜访办理装备

阐明:am拜访办理装备

当以太网交流机接入的用户数量不大时,为了下降组网本钱,局域网效劳提

供者能够不运用认证计费效劳器以及DHCP 效劳器,而运用以太网交流机提

供的一种低本钱简略可行的代替计划。在这个低本钱的代替计划顶用到了交

换机的两个特性功用:端口和IP 地址的绑定、端口间的二层阻隔。

      经过在以太网交流机的端口上装备二层阻隔功用,用户能够操控端口1 宣布的帧不被端口2 接纳,端口2宣布的帧不被端口1 接纳,然后将端口1 与端口2 阻隔开来。然后保证了各组织的PC 只能与组织内的其他PC 正常通讯,而且保证了各组织内指定的PC 能够与外部网络正常通讯。 # 大局敞开拜访办理功用 [Quidway] am enable # 装备端口e0/1 上的拜访办理IP 地址池

[Quidway-Ethernet0/1] am ip-pool 202.10.20.1 20

# 设置端口e0/1 的二层阻隔端口为e0/2功用

[Quidway-Ethernet0/1] am isolate ethernet0/2

事例2-1:AM二层端口阻隔

1. 组网需求

使以太网交流机端口e0/1与端口e0/2二层阻隔。

2. 组网图

3. 装备过程

阻隔:

am enable vlan 10 port Ethernet 0/1 port Ethernet 0/2 quit interface Ethernet 0/1 am isolate Ethernet 0/2 quit interface Ethernet 0/2 am isolate Ethernet 0/1 quit

端口e 0/1中客户192.168.1.1与e 0/2的客户192.168.1.2ping测验:

启用am之前:

启用am之后:

此刻,替换端口之e0/3和e0/4之后,在测验

事例2-2:AM二层端口地址池:

1. 组网需求

以太网交流机端口e0/1 上拜访办理IP 地址池为192.168.1.1~192.168.1.8/24;端口e0/2 上拜访办理IP 地址池为192.168.1.9~192.168.1.19/24;

2. 组网图

3. 装备过程

am enable vlan 10 port Ethernet 0/1 port Ethernet 0/2 quit interface Vlan-interface 10 ip add 192.168.1.254 255.255.255.0 quit interface Ethernet 0/1 am ip-pool 192.168.1.1 7 quit interface Ethernet 0/2 am ip-pool 192.168.1.9 10 quit

启用am之前测验:

启用am之后测验:e 0/2的客户192.168.1.9将ip地址修正为192.168.1.100,此刻无法通讯

安全技能3:IP-MAC绑定

阐明:

华为三层设备上能够做到ip和mac绑定,来防备ARP对网络形成的影响

MAC地址绑定便是运用三层交流机的安全操控列表将交流机上的端口与所对应的MAC地址进行绑缚。由于每个网络适配卡具有仅有的MAC地址,为了有用避免不合法用户盗用网络资源,MAC地址绑定能够有用的躲避不合法用户的接入。以进行网络物理层面的安全维护。

增加MAC 地址表项

mac-address { static | dynamic |blackhole } mac-address interface

interface-type interface-number vlan vlan-id

设置端口最多能够学习到的MAC 地址数量

mac-address max-mac-count count

显现地址表信息

display mac-address[ display-option ]

事例3:IP-MAC绑定试验

1.   组网需求 交流机的办理者期望在端口 Ethernet1/0/2 上对用户接入进行MAC 地址认证,以操控用户对Internet 的拜访。 2. 组网图

3.装备过程

mac static 1111-2222-3333 interface Ethernet 0/1 vlan 1

安全技能4:ARP绑定

阐明:

ARP 即地址解析协议首要用于从IP 地址到以太网MAC 地址的解析。

如将ARP 映射表绑定,就能够避免一般的ARP诈骗***。避免ARP病毒***的最有用手法:双向静态ARP绑定

ARP 映射绑定: arp static 10.2.238.7 000a-e436-d354

arp ip-address mac-address VLANID{ interface_type interface_num | interface_name }

显现ARP 映射表show arp [ static | dynamic | all ]

翻开ARP 调试信息开关debug arp packet

事例4:ARP绑定试验

1. 组网需求

􀁺封闭 ARP 表项查看功用。

􀁺设置交流机上动态 ARP 表项的老化时刻为10 分钟。

􀁺增加一个静态ARP 表项,IP 地址为192.168.1.1,对应的MAC 地址为

00e0-fc01-0000,对应的出端口为归于VLAN 1 的端口Ethernet1/0/10。

2. 组网图

3. 装备过程

undo arp check enable arp timer aging 10 arp static 192.168.1.1 1111-2222-3333 #测验

4. 撤销绑定,测验:

安全技能5:AAA

阐明: AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它是对网络安全的一种办理方法。供给了一个对认证、授权和计费这三种功用进行一致装备的结构。 􀁺 认证:哪些用户能够拜访网络效劳器; 􀁺 授权:具有拜访权的用户能够得到哪些效劳; 􀁺 计费:怎么对正在运用网络资源的用户进行计费。 AAA 一般选用客户端/效劳器结构:客户端运转于被办理的资源侧,效劳器上会集寄存用户信息。因而,AAA 结构具有杰出的可扩展性,而且简单完成用户信息的会集办理。

事例5:AAA装备举例(Telnet用户本地认证装备)

经典事例请参阅我的博客:

 

请点击:华为AAA认证 请点击:华为AAA认证典型装备举例

 

请点击:华为S2000-HI交流机与cisco的acs结合做认证

1. 组网需求

现需求经过装备交流机完成对登录交流机的Telnet用户进行本地认证。 2.   组网拓扑图

3.   装备过程:

# 创立本地用户telnet。

local-user telnet service-type telnet level 3 password simple abc quit

# 装备Telnet用户选用AAA认证方法。

user-interface vty 0 4 authentication-mode scheme quit

# 装备缺省system域选用的认证方法。

domain system 运用Telnet登录时输入用户名为telnet@system,以运用system域进行认证。

#客户端登陆测验

安全技能6:dot1x

阐明:

802.1x协议是一种根据端口的网络接入操控(Port Based Network Access Control)协议。“根据端口的网络接入操控”是指在局域网接入设备的端口这一级对所接入的设备进行认证和操控。连接在端口上的用户设备假如能经过认证,就能够拜访局域网中的资源;假如不能经过认证,则无法拜访局域网中的资源。

事例6:802.1x典型装备举例

经典事例请参阅我的博客:

华为S2000-HI交流机与cisco的acs结合做认证

1. 组网需求

本地802.1x接入用户的用户名为localuser,暗码为localpass,运用明文输入,搁置堵截功用处于翻开状况。

2. 组网图

3. 装备过程

# 敞开大局802.1x特性。

<Sysname> system-view System View: return to User View with Ctrl+Z. [Sysname] dot1x

# 敞开指定端口Ethernet 1/0/1的802.1x特性。

[Sysname] dot1x interface Ethernet 1/0/1

# 设置接入操控方法(该指令能够不装备,由于端口的接入操控在缺省情况下便是根据MAC地址的)。

[Sysname] dot1x port-method macbased interface Ethernet 1/0/1

# 创立RADIUS计划radius1并进入其视图。

[Sysname] radius scheme radius1

# 设置主认证/计费RADIUS效劳器的IP地址。

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

# 设置备份认证/计费RADIUS效劳器的IP地址。

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

# 设置体系与认证RADIUS效劳器交互报文时的加密暗码。

[Sysname -radius-radius1] key authentication name

# 设置体系与计费RADIUS效劳器交互报文时的加密暗码。

[Sysname-radius-radius1] key accounting money

# 设置体系向RADIUS效劳器重发报文的时刻距离与次数。

[Sysname-radius-radius1] timer 5 [Sysname-radius-radius1] retry 5

# 设置体系向RADIUS效劳器发送实时计费报文的时刻距离。

[Sysname-radius-radius1] timer realtime-accounting 15

# 指示体系从用户名中去除用户域名后再将之传给RADIUS效劳器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 创立域aabbcc.net并进入其视图。

[Sysname] domain aabbcc.net

# 指定radius1为该域用户的RADIUS计划,若RADIUS效劳器无效,则运用本地认证计划。

[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local

# 设置该域最多可包容30个用户。

[Sysname-isp-aabbcc.net] access-limit enable 30

# 发动搁置堵截功用并设置相关参数。

[Sysname-isp-aabbcc.net] idle-cut enable 20 2000 [Sysname-isp-aabbcc.net] quit

# 装备域aabbcc.net为缺省用户域。

[Sysname] domain default enable aabbcc.net

# 增加本地接入用户。

[Sysname] local-user localuser [Sysname-luser-localuser] service-type lan-access

[Sysname-luser-localuser] password simple localpass

 
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章