华为网络设备上常用的安全技术
安全技术1:am
说明:
am 访问管理简介
用户通过以太网交换机接入外部网络是一种典型的以太网接入组网方案――外部网络与以太网交换机相连,以太网交换机与HUB相连,HUB汇集数量不等的PC。组网示意图如下:
当以太网交换机接入的用户数量不多时,从成本方面考虑,分配给不同企业的端口要求属于同一个 VLAN。同时为每个企业分配固定的 IP 地址范围,只有 IP 地址在该地址范围内的用户才能通过该端口接入外部网络。另外出于安全的考虑, 不同企业之间不能互通,利用以太网交换机提供的访问管理功能(端口和 IP 地址的绑定、端口间的二层隔离)可以实现这些需求下面将结合上图用一个实例来具体说明。
机构1 和机构 2 同处一个 VLAN,通过同一台以太网交换机与外部网络相连。分配给机构 1 的IP 地址范围为 202.10.20.1-202.10.20.20,只有IP 地址在该地址范围内的PC才能通过端口 1 接入外部网络,也就是将端口 1 和IP 地址 202.10.20.1-202.10.20.20 ,进行了绑定。同样,分配给机构 2 的IP 地址范围为202.10.20.21-202.10.20.50 ,只有IP 地址在该范围内的 PC才能通过端口 2 接入外部网络,也就是将端口 2 和IP 地址 202.10.20.21-202.10.20.50 进行了绑定,由于两个机构的网络设备处在同一个 VLAN 中,如果不采用有效的隔离措施,机构1 内的PC将有可能和机构 2 中的 PC实现互通,通过在以太网交换机的端口上配置二层隔离功能,可以控制从端口 1 发出的报文不被端口 2 接收,端口2 发出的报文不被端口 1 接收,从而将端口 1 与端口 2 隔离开来保证了各机构的 PC只能与机构内的其他 PC正常通信。
访问管理的主要配置包括
1 使能访问管理功能
在全局配置模式下进行下列配置
使能访问管理功能 am enable
关闭访问管理功能 undo am enable
2 配置基于端口的访问管理 IP地址池
在以太网端口模式下进行下列配置
设置端口的访问控制IP地址池 am ip-pool { address-list }
取消端口访问控制IP地址池的部分或全部IP地址 undo am ip-pool { all | address-list }
3 配置端口间的二层隔离 S3526/S3526 FM/S3526 FS/S3526E/S3526E FM/S3526E FS/S3526C以太网交换机支持
设置端口的二层隔离,以使该端口与某个(或某组)端口间不能进行二层转发。在以太网端口模式下进行下列配置
设置端口的二层隔离 am isolate interface-list
取消对全部/部分端口的二层隔离 undo am isolate interface-list
4 基于 VLAN 方式配置端口隔离 S3552G/S3552P/S3528G/S3528P/ S3552F支持
在VLAN视图下进行下列配置
使能 VLAN内的端口二层隔离 port-isolate enable
取消 VLAN内的端口二层隔离 undo port-isolate enable
5 配置端口 /IP 地址 /MAC 地址的绑定 S3526E/S3526E FS/S3526E FM/S3526C以太网交换机支持
在系统视图下进行下列配置
将端口 IP地址和 MAC地址绑定在一起 am user-bind { interface { interface-name | interface-type interface-number } { mac-addr mac | ip-addr ip }* | mac-addr mac { interface { interface-name | interface-type interface-number } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-number } | mac-addr mac }* }
6 开启/关闭访问管理告警开关
在全局配置模式下进行下列配置
开启访问管理告警功能 am trap enable
关闭访问管理告警功能 undo am trap enable
7 显示当前的访问控制配置信息
显示当前的端口访问控制配置信息 display am [ interface-list ]
显示端口 IP地址 MAC地址的绑定情况 display am user-bind [ interface { interface-name | interface-type interface-number } | mac-addr mac | ip-addr ip ]
案例:
组网需求
机构1连接到以太网交换机的端口 1, 机构 2连接到以太网交换机的端口 2 。端口 1和端口 2 属于同一个 VLAN。端口 1 下可以接入的 IP 地址范围为 202.10.20.1-202.10.20.20 ,端口 2下可以接入的 IP地址范围为202.10.20.21 -202.10.20.50。
机构1和机构 2的设备不能互通 。
拓扑图为上图。
配置步骤
# 全局开启访问管理功能
[Quidway] am enable
# 配置端口 1上的访问管理 IP地址池
[Quidway-Ethernet0/1] am ip-pool 202.10.20.1 20
# 设置端口1与端口 2二层隔离
[Quidway-Ethernet0/1] am isolate ethernet0/2
# 配置端口 2上的访问管理 IP地址池
[Quidway-Ethernet0/2] am ip-pool 202.10.20.21 30
安全技术2:arp绑定
说明:
ARP简介
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的 IP地址解析为数据链路层的物理地址(MAC地址)。
ARP地址解析的必要性
网络设备进行网络寻址时只能识别数据链路层的 MAC 地址,不能直接识别来自网络层的 IP地址。如果要将网络层中传送的数据报交给目的主机,必须知道该主机的MAC 地址。因此网络设备在发送报文之前必须将目的主机的 IP 地址解析为它可以识别的 MAC地址。
ARP表
以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表,称为ARP映射表, ARP表的形式如图 1-2所示。 ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射关系。需要注意的是,这里仅仅对ARP映射表的基本实现进行介绍。不同公司的产品可能会在此基础上提供更多的信息。S2000-HI系列以太网交换机可以使用display arp命令查看ARP映射项信息。
配置ARP
S2000-HI系列以太网交换机的ARP表项分为:静态表项和动态表项
静态ARP表项 用户手工配置的IP地址到MAC地址的映射
进入系统视图 arp static ip-address mac-address [ vlan-id interface-type interface-number ]
动态ARP表项 交换机动态生成的IP地址到 MAC地址的映射
配置动态ARP老化定时器的时间 arp timer aging aging-time
使能ARP表项的检查功能(即不学习MAC地址为组播MAC的ARP表项)arp check enable
查看ARP映射表 display arp [ static | dynamic | ip-address ]
清除ARP映射项 reset arp [ dynamic | static | interface interface-type interface-number ]
reset命令可以在用户视图下执行
【视图】
系统视图
【参数】
interface { interface-name | interface-type interface-num }:以太网端口。
mac-addr mac:MAC地址。
ip-addr ip:IP地址。
【描述】
am user-bind用来将端口、IP和MAC地址绑定在一起。
系统支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式:
Port+IP绑定:将报文的接收端口和源IP地址绑定。指定端口将只允许指定IP地址的报文通过,不允许其它IP地址的报文通过,同时指定IP地址的报文只能从指定端口上通过,不能从其它端口上通过。
PORT+MAC绑定:将报文的接收端口和源MAC绑定。指定端口将只允许指定MAC地址的报文通过,不允许其它MAC地址的报文通过,同时指定MAC地址的报文只能从指定端口上通过,不能从其它端口上通过。
PORT+IP+MAC绑定:将报文的接收端口、源IP和源MAC绑定。指定端口将只允许指定IP地址和指定MAC地址的报文通过,不允许其它IP地址和MAC地址的报文通过。指定IP地址的报文只能从指定端口上通过,不能从其它端口上通过。指定MAC地址的报文只能从指定端口上通过,不能从其它端口上通过。
IP+MAC绑定:将报文的源IP和源MAC绑定。如果报文的源IP地址与指定IP相同,则只有源MAC地址是指定的MAC地址时,该报文才被交换机转发,否则该报文不能被转发。同理,如果报文的MAC地址与指定的MAC地址相同,则只有源IP地址与指定的IP地址相同,该报文才被交换机转发,否则该报文不能被转发。
注:不支持同时对一个端口做“PORT+IP+MAC”和“PORT+IP”绑定。
1、IP+MAC+端口绑定流程
三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。
2、采用DHCP-SECURITY来实现
1.配置端口的静态MAC地址
[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
2.配置IP和MAC对应表
[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
3.配置dhcp-server组号(否则不允许执行下一步,此dhcp-server组不用在交换机上创建也可)
[SwitchA-Vlan-interface1]dhcp-server 1
4. 使能三层地址检测
[SwitchA-Vlan-interface1]address-check enable
3、采用AM命令来实现
1.使能AM功能
[SwitchA]am enable
2.进入端口视图
[SwitchA]vlan 10
3. 将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
4.创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
5.给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6.进入E0/1端口
[SwitchA]interface Ethernet 0/1
7. 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10
ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。 由 ACL 定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。
根据应用目的,可将 ACL分为下面几种:
基本 ACL:只根据三层源 IP地址制定规则。
高级 ACL:根据数据包的源 IP地址信息、目的 IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
二层 ACL:根据源 MAC 地址、目的 MAC 地址、VLAN 优先级、二层协议类型等二层信息制定规则。
ACL在交换机上的应用方式
1. ACL直接下发到硬件中的情况
交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流分类。此时一条 ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使在定义 ACL时配置了匹配顺序,该匹配顺序也不起作用。 ACL直接下发到硬件的情况包括:交换机实现 QoS功能时引用 ACL、通过 ACL过滤转发数据等。
2. ACL被上层模块引用的情况
交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时 ACL 规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和 auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条 ACL中多个规则的匹配顺序。用户一旦指定某一条 ACL的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL被软件引用的情况包括:对登录用户进行控制时引用 ACL等。
ACL 匹配顺序
ACL 可能会包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。
ACL 支持两种匹配顺序:
配置顺序:根据配置顺序匹配ACL 规则。
自动排序:根据“深度优先”规则匹配ACL 规则。
“深度优先”规则说明如下:
IP ACL(基本和高级 ACL )的深度优先以源IP 地址掩码和目的 IP 地址掩码长度排序,掩码越长的规则位置越靠前。排序时先比较源IP 地址掩码长度,若源 IP 地址掩码长度相等,则比较目的IP 地址掩码长度。例如,源IP 地址掩码为 255.255.255.0的规则比源IP 地址掩码为 255.255.0.0的规则匹配位置靠前。
. 组网需求:
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei
(3)激活ACL。
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
a)基本访问控制列表配置案例
. 组网需求:
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源IP为10.1.1.1的ACL
# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
[Quidway] acl name traffic-of-host basic
# 定义源IP为10.1.1.1的访问规则。
[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei
(3)激活ACL。
# 将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host
b)高级访问控制列表配置案例
.组网需求:
公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。
.配置步骤:
(1)定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
(2)定义到工资服务器的ACL
# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
[Quidway] acl name traffic-of-payserver advanced
# 定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
(3)激活ACL。
# 将traffic-of-payserver的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver