【案例分享】核心层设备安全配置

【微|信|公|众|号:厦门微思网络】

【案例分享】核心层设备安全配置_第1张图片
接入层设备安全配置案例

接入层作为园区网络的边界,为各种终端接入网络,需要防止非法的终端和用户进入网络。此外,接入层设备还承载二层流量转发的功能,需要对二层流量的转发行为进行控制。

配置案例

  • 配置CPU防攻击功能案例

    [HUAWEI] acl number 2001
    [HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
    [HUAWEI-acl-basic-2001] quit
    [HUAWEI] cpu-defend policy test                                     //创建防攻击策略,并进入防攻击策略视图
    [HUAWEI-cpu-defend-policy-test] car packet-type http cir 120        //配置协议未建立连接时报文的CPCAR值
    [HUAWEI-cpu-defend-policy-test] linkup-car packet-type http cir 120 //配置协议连接建立时协议报文的CPCAR值
    [HUAWEI-cpu-defend-policy-test] deny packet-type icmp               //配置对上送CPU的报文动作为丢弃
    [HUAWEI-cpu-defend-policy-test] blacklist 1 acl 2001                //配置CPU防攻击黑名单
    [HUAWEI-cpu-defend-policy-test] quit
    [HUAWEI] cpu-defend application-apperceive enable                   //使能全局动态链路保护功能
    [HUAWEI] cpu-defend application-apperceive http enable              //使能协议报文的动态链路保护功能
    

  • 配置攻击溯源功能案例

    [HUAWEI] acl number 2001
    [HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
    [HUAWEI-acl-basic-2001] quit
    [HUAWEI] cpu-defend policy test                                  //创建防攻击策略,并进入防攻击策略视图
    [HUAWEI-cpu-defend-policy-test] auto-defend enable               //使能攻击溯源功能
    [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable         //使能攻击溯源事件上报功能
    [HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001 //配置攻击溯源白名单
    [HUAWEI-cpu-defend-policy-test] auto-defend action deny          //使能攻击溯源的惩罚功能,并指定惩罚措施
    

  • 配置端口防攻击案例

    [HUAWEI] acl number 2001
    [HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
    [HUAWEI-acl-basic-2001] quit
    [HUAWEI] cpu-defend policy test                                  //创建防攻击策略,并进入防攻击策略视图
    [HUAWEI-cpu-defend-policy-test] auto-port-defend enable          //使能端口防攻击功能
    [HUAWEI-cpu-defend-policy-test] auto-port-defend alarm enable    //使能端口防攻击事件上报功能
    [HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001 //配置端口防攻击白名单
    

  • 配置用户极限速功能案例

    [HUAWEI] cpu-defend host-car enable //使能用户级限速功能
    

  • 配置ARP报文限速功能案例

    [HUAWEI] arp anti-attack rate-limit enable                    //使能全局ARP报文限速功能
    [HUAWEI] arp speed-limit source-mac 00e0-fc01-0001 maximum 20 //配置根据源MAC地址进行ARP报文限速的限速值
    [HUAWEI] arp speed-limit source-ip 10.1.1.1 maximum 20        //配置根据源IP地址进行ARP报文限速的限速值
    

  • 配置ARP Miss消息限速功能案例

    [HUAWEI] arp-miss anti-attack rate-limit enable                    //使能全局ARP Miss报文限速功能
    [HUAWEI] arp-miss speed-limit source-mac 00e0-fc01-0001 maximum 20 //配置根据源MAC地址进行ARP Miss报文限速的限速值
    [HUAWEI] arp-miss speed-limit source-ip 10.1.1.1 maximum 20        //配置根据源IP地址进行ARP Miss报文限速的限速值
    

  • 配置临时ARP表项的老化功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] arp-fake expire-time 3 //配置临时ARP表项的老化时间
    

  • 配置禁止过来ARP报文上送CPU功能案例

    [HUAWEI] interface vlanif 10
    [HUAWEI-Vlanif10] arp optimized-passby enable //配置禁止过路ARP报文上送CPU
    

  • 配置ARP优化应答功能案例

    [HUAWEI] undo arp optimized-reply disable //使能ARP优化应答功能
    

  • 配置ARP表项严格学习功能案例

    [HUAWEI] arp learning strict //使能全局ARP表项严格学习功能
    [HUAWEI] quit
    

  • 配置ARP表项限制功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] arp-limit maximum 20 //配置限制接口能够学习到的最大动态ARP表项数目
    

  • 配置禁止接口学习ARP表项功能案例

    [HUAWEI] interface vlanif 10
    [HUAWEI-Vlanif10] arp learning disable //配置禁止接口学习动态ARP表项
    

  • 配置ARP防网关冲突功能案例

    [HUAWEI] arp anti-attack gateway-duplicate enable //使能ARP防网关冲突攻击功能
    

  • 配置ARP网关保护功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] arp trust source 10.1.1.1 //使能ARP网关保护功能
    

  • 配置发送ARP免费报文功能案例

    [HUAWEI] arp gratuitous-arp send enable //使能发送免费ARP报文的功能
    [HUAWEI] arp gratuitous-arp send interval 60 //使能发送免费ARP报文的时间间隔
    

  • 配置ARP报文内MAC地址一致性检查功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] arp validate source-mac destination-mac //使能ARP报文内MAC地址一致性检查功能
    

  • 配置ARP报文合法性检查功能案例

    [HUAWEI] arp anti-attack packet-check ip dst-mac sender-mac //使能ARP报文合法性检查功能
    

  • 配置DHCP出发ARP学习功能案例

    [HUAWEI] interface vlanif 10
    [HUAWEI-Vlanif10] arp learning dhcp-trigger //使能DHCP触发ARP学习功能

你可能感兴趣的:(网络工程师-华为认证/思科认证,安全,网络,HCIA,HCIP,HCIE,核心层设备安全配置)