-
华为网络设备上常用的安全技术:
概述:
ACL
AM
MAC
ARP
AAA
Dot1x
文章目录:
安全技术
1
:
ACL
(访问控制列表)
安全技术
2
:
AM
(访问管理配置)
安全技术
3
:
MAC
绑定
安全技术
4
:
ARP
绑定
安全技术
5
:
AAA
安全技术
6
< br>:
802.1x
安全技术
1
:
ACL
说明:
ACL
(
A
ccess Control List
,访问控制列表)
<
/p>
ACL
即是通过配置对报文的匹配规则和处理操作来实现包过滤的
功能。
基本
ACL
:
只根据数据包的源
IP
地址制定规则。
高级
ACL
:
根据数据包的源
IP
地址、目的
IP
地址、
IP
承载的协议类型、端
口号,协议特性等三、四层信息制定规则。
二层
ACL
:根据数据包的源
MAC
地址、目的
MAC
地址、
802.1p
优先级、
二层协议类型等二层信息制定规则。
用户自定义
ACL
< br>:以数据包的头部为基准,指定从第几个字节开始与掩码进行
“与”
操作,
将从报文提取出来的字符串和用户定义的字符串进行比较,
找到匹
配的报文。
(华为设备默认允许)
??
100
~
199
:表示
WLAN
ACL
;
??
2000
~
2999
:表示
IPv4
基本
ACL
;
??
3000
~
3999
:表示
IPv4
高级
ACL
;
??
4000
~
4999
:表示二层
ACL
;
??
5000
~<
/p>
5999
:表示用户自定义
ACL
。
??
创建时间段:
time-
range
案例
1-1
:标准
ACL
实验
1.
组网需求
禁止
192.168.1.100/24
通过
telnet
访问
192.168.1.1/24<
/p>
,其它主机不受限制
2.
组网图
3.
配置步骤
int Vlan-interface 1
ip add 192.168.1.1
255.255.255.0
quit
acl number
2000
rule 10 deny source
192.168.1.100 0
quit
应用
acl
之前测试:
192.168.1.100
可以通过
telnet
访问
192.168.1.1
应用
acl
:
user-interface vty 0
4
acl 2000
inbound
quit
应用
acl
之后测试:
192.168.1.100
不可以通过
telnet
访问
192.168.1.1
192.168.1.100
修改<
/p>
IP
地址之后在尝试登录,可成功登录
案例
1-2
:高级
ACL
实验
1.
组网需求
禁止
192.168.10.100/24
与
192.168.1.200/24
之间
ping<
/p>
测试,其它主机不受
限制,其它服务不受限制。
< br>
2.
组网图
3.
配置步骤
#
在交换机上进行如下配置:
int Vlan-interface 1
ip add 192.168.1.1
255.255.255.0
quit
vlan
10
port Ethernet
0/1
quit
int Vlan-interface 10
ip add 192.168.10.1
255.255.255.0
quit
#192.168.10.
100pc
去
ping
测试
192.168.1.200pc
#192.168.1.200pc
去
ping<
/p>
测试
192.168.10.100pc
#
配置
ACL
3000
acl number
3000
rule 10 deny icmp
source 192.168.10.100 0 destination 192.168.1.200
0
quit
#
应用
ACL
packet-filter ip-group 3000 rule
10
#
查看
ACL
信息
[S10]dis
acl config all
Advanced ACL
3000, 1 rule,
rule 10 deny
icmp source 192.168.10.100 0 destination
192.168.1.200 0
(0 times
matched)
[S10]dis acl
running-packet-filter all
Acl 3000 rule 10
运行
< br>#
客户端进行测试:
zhujunjie-pc
的
ip
地址为
192.
168.10.100
,
zhuchaobo-pc
的
ip
地址为
192.1
68.1.200
zhuchaobo-pc
修改
ip<
/p>
地址为
192.168.1.20
之后在
进行测试:可以通信。
案例
1-3
:二层
AC
L
实验
二层访问控制列表
二层访问控制列表根据源
MAC
地址、源
VLAN
ID
、二层协议类型、报文二层
接收端口、报文二层转发端口、目的
MAC
地址等二层信息制定规则,对数据
进行相应处理。
1.
组网需求
使用二层
< br>ACL
,禁止
192.168.100.100
与
192.168.100.200
通信
2.
组网图
注:
zhujunjie-pc
的
192.168.100.100
和
MAC
地址为:
88ae-1dd6-48
9d
zhuchaobo-pc
的
192.
168.100.200
和
MAC
地址
为:
206a-8a2e-c911
注:交换机版本为:
[sw1]dis version
Huawei Versatile Routing Platform
Software
VRP Software,
Version 3.10, Release 0041P02
3.
配置步骤
配置二层
ACL
之前
:
测试
[sw1]dis arp
IP
Address MAC Address VLAN ID Port Name
Aging
Type
192.168.100.200 206a-8a2e-c911 1
Ethernet0/22 20
Dynamic
192.168.100.100 88ae-1dd6-489d 1
Ethernet0/1 20
Dynamic
#
< br>在交换机上配置
ACL
acl
number 4000
rule
10
deny
ingress
88ae-1dd6-489d
0000-0000-0000
interface
Ethernet
0/1
egress 206a-8a2e-c911 0000-0000-0000
interface Ethernet 0/22
quit
#
在交换机上应用
ACL
packet-filter link-group 4000 rule
10
[sw1]dis acl
config all
Link ACL 4000, 1 rule,
rule 10 deny ingress 88ae-1dd6-489d
0000-0000-0000 interface
Ethernet0/1
egress
206a-8a2e-c911
0000-0000-0000
interface
Ethernet0/22
[sw1]dis acl running-packet-filter
all
Acl 4000 rule 10
运行
#
测试
#
取消应用后,再测试
undo packet-filter link-group 4000 rule
10
安
全技术
2
:
AM
访问管理配置
说明:
am
访问管理配置
当以太网交换机接入的用户数量
不大时,为了降低组网成本,局域网服务提
供者可以不使用认证计费服务器以及
DHCP
服务器,而使用以太网交换机提
供的
一种低成本简单可行的替代方案。在这个低成本的替代方案中用到了交
换机的两个特性功能:端口和
IP
地址的绑定、端口间的二层隔离。
通过在以太网交换机的端口上配置二层隔离功能,用户可以控制端口
1
发
出的帧不被端口
2
接收,
端口
2
发出的
帧不被端口
1
接收,
从而将端口
1
与端
口
2
隔离开来。从而保证了各机构的
PC
只能与机构内的其他
PC
正常通信,
并且确保了各机构内指定的
PC
可以与外部网络正常通信。
#
全局开启访问管理功能
[Quidway] am enable
#
配置端口
e0/1
上的访问管理
IP
地址池
[Quidway-
Ethernet0/1] am ip-pool 202.10.20.1 20
#
设置端口
e0/1
的二层隔离端口为
e0/2
功能
[Quidway-Ethernet0/1] am isolate
ethernet0/2
案例
2-1
:
AM
二层端口隔离
< br>
1.
组网需求
使以太网交换机端口
e0/1
与端口
e0/2
二层隔离。
2.
组网图
3.
配置步骤
隔离:
am
enable
vlan 10
port Ethernet 0/1
port Ethernet 0/2
quit
interface
Ethernet 0/1
am isolate
Ethernet 0/2
quit
interface Ethernet 0/2
am isolate Ethernet 0/1
quit
端口
e 0/1
中客户
192.168.1.1
与
e 0/2
的客户
192.168.1.2ping
测试:
启用
am
之前:<
/p>
启用
am<
/p>
之后:
<
/p>
此时,更换端口之
e0/3
和
e0/4
之后,在测试