六、以太网安全技术
(一) 以太网ACL控制
1、ACL匹配原则
(1)支持两种匹配顺序
配置顺序:根据配置规则的先后顺序进行规则匹配
自动排序:根据“深度优先”的顺序进行规则匹配。即越详细的越最先匹配。
(2)基本ACL的“深度优先”顺序判断原则
比较源IP,源IP范围小的优先
源IP相同,带有fragment参数的优先。
源IP相同,都带fragment参数的,先配置的优先。
(3)高级ACL的“深度优先”顺序判断原则
先比较协议范围,IP协议优先--》源IP范围小的优先--》目的IP范围小的优先--》端口范围小的优先--》参数个数多的优先。
2、基本ACL
[h3c]acl number {acl-number} [match-order{auto|config}] //配置一条ACL条目,基本ACL的序号为2000---2999范围。 并指定匹配顺序,是自动排序,还是以配置先后排序。当为配置先后排序时,可以直接修改ACL条目中的规则,但是自动排序时,不能修改。
[h3c-acl-basic-2000]rule [rule-id] {deny|permit| [rule-sting] //配置ACL的规则。 rule-id是指规则编号,可以省略,会在整个ACL中的规则中的最大序号上加1.
例:
[h3c]acl number 2000
[h3c-acl-basic-2000] rule 0 deny source 192.168.0.1 0 //禁止源地址为192.168.0.1的IP地址通过。
3、高级ACL(根据端口号和端口范围)
[h3c]acl number {acl-number} [match-order{auto|config}] //范围3000---3999. 可以配置端口号和范围
[h3c-acl-basic-3000]rule [rule-id] {deny|permit}protocl [rule-sting]
例:
[h3c]acl number 3000
[h3c-acl-basic-2000] rule 0 permit tcp source 192.168.9.0 0.0.0.255 destination 10.10.1.8 0.0.0.255 destination-port eq 80 //允许192.168.9.0网段访问10.10.1.0网段的80端口。
4、二层ACL
根据源MAC地址、目的MAC地址、802.1P优先级、二层协议类型等二层信息制定规则。
[h3c]acl number {acl-number} [match-order{auto|config}] //4000--4999的范围
[h3c-acl-basic-4000]rule [rule-id] {deny|permit| [rule-sting]
5、ACL下发 (即应用已定义的ACL)
(1)全局下发
对所有端口应用ACL
[h3c] packet-filter inbound {ip-group |link-group} {acl-number} [rule] {rule-id} //即应用哪一条ACL。 ip-group是指IP型ACL,link-group是指二层ACL。后面的rule是指哪一个ACL的哪一条规则,是可选的。
(2)VLAN下发
[h3c] packet-filter vlan {vlan-id} inbound {ip-group |link-group} {acl-number} [rule] {rule-id} //把ACL应用到VLAN中。
(3)端口下发
[h3c]interface gig 1/0/1
[h3c-gigbitehternet1/0/1] packet-filter inbound {ip-group |link-group} {acl-number} [rule] {rule-id} //先进入端口,然后应用ACL
(二)镜像操作(以5100交换机为例,不同交换机,命令有差异)
1、本地端口镜像
将本地设备的一个或多个端口作为源端口,把报文复制到本地设备的一个监视端口上。用于报文分析和监视。源端口和目的端口在同一台设备上。
配置方法:(5100)
[h3c]mirroring-group {group-id} local //创建本地镜像组
[h3c]mirroring-group {group-id} mirroring-prot {mirroring-port-list} [both|inbound|outbound] //即把哪些端口配为源端口。 并选择镜像进入数据、出数据还是两者都镜像。也可以先进入端口模式后,再配置
[h3c]mirroring-group {group-id} mirroring-prot {monitor-port-id} // 配置目的端口。可先进入端口模式后,再配置。
其他交换机配置:
[h3c] monitor-port {interface} //配置哪个端口为目的端口
[h3c]mirroring-port {port-list} [inbound|outbound|both] //配置哪些端口为源端口
2、远程端口镜像
使源端口和目的端口可以跨交换机。把多个设备的源端口报文复制到目的交换机的目的端口上。所有源端口所在交换机、中间交换机、目的交换机都必须配置一个镜像VLAN,所有镜像报文通过该远程镜像VLAN从源交换机的反射口传递到目的交换机的镜像端口。
(1)源交换机配置
[h3c]vlan 10
[h3c-vlan10]remote-probe vlan enable //设置VLAN10为远程镜像VLAN
[h3c]interface gigbitethernet1/0/1
[h3c-interface-gigbitethernet1/0/1] port link-type trunk //把端口1设为TRUNK端
[h3c-interface-gigbitethernet1/0/1] port trunk permit vlan 10 //允许镜像VLAN10通过trunk口
[h3c]mirroring-group 5 remote-source //创建远程源镜像组
[h3c] mirroring-prot gigbitethernet1/0/2 to gigbitethernet1/0/10 both //为远程镜像组配置源端口为2-10号端口。
[h3c]mirroring-group 5 reflector-port gigbitethernet1/0/11 //反射端口只能是access端口。不能是聚合端口等。
[h3c]mirroring-group 5 remote-probe vlan 10 //为远程镜像组配置远程VLAN,远程VLAN为上面定义的远程VLAN10
(2)中间交换机配置
即只是连接源镜像端口所在交换机和目的端口所在交换机的中间交换机。中间交换机没有源端口。
[h3c]vlan 10
[h3c-vlan10]remote-probe vlan enable //设置VLAN10为远程镜像VLAN
[h3c]interface gigbitethernet1/0/1
[h3c-interface-gigbitethernet1/0/1] port link-type trunk //把端口1设为TRUNK端
[h3c-interface-gigbitethernet1/0/1] port trunk permit vlan 10 //允许镜像VLAN10通过trunk口
(3)配置目的交换机
[h3c]vlan 10
[h3c-vlan10]remote-probe vlan enable //设置VLAN10为远程镜像VLAN
[h3c]interface gigbitethernet1/0/1
[h3c-interface-gigbitethernet1/0/1] port link-type trunk //把端口1设为TRUNK端
[h3c-interface-gigbitethernet1/0/1] port trunk permit vlan 10 //允许镜像VLAN10通过trunk口
[h3c]mirroring-group 5 remote-destination //创建远程目的镜像组
[h3c]mirroring-group 5 monitor-port gigbitethernet1/0/24 //设置镜像组的目的端口
[h3c]mirroring-group 5 remote-probe vlan 10 //为远程镜像组配置远程VLAN,远程VLAN为上面定义的远程VLAN10
4、VLAN地址镜像
对某个或某些VLAN内所有端口接收或发送的数据流都进行镜像。
(1)配置本地的VLAN镜像
[h3c]mirroring-group 5 local //创建本地镜像组
[h3c]mirroring-group 5 mirroring-vlan 8 inbound //即把哪些VLAN配为源vlan。 并选择镜像进入数据、出数据还是两者都镜像。
[h3c]mirroring-group 5 mirroring-prot gigbitethernet1/0/24 // 配置目的端口。可先进入端口模式后,再配置。
(2)配置远程VLAN镜像
(四)802.x
(三)AAA操作
七、QOS
(一)QOS的基本流程
1、对数据分类
通过ACL对数据流分类
优先级标记分类
2、对分类的数据进行以下动作:
优先级重标记
流量监管
流量整形
重定向
流镜像
流量统计
还可作其他动作:
优先级信任模式
端口限速
burst功能
指定协议报文优先级
3、拥塞管理
调用队列进行拥塞管理
4、拥塞避免
(二)分类和标记详细配置
1、通过ACL设置数据流分类
2、优先级标记
(1)设置端口优先级
[h3c]interface gigbitethernet1/0/1
[h3c-interface-gigbitethernet1/0/1]priority {priority-level} //配置接口优先级,取值范围是1--7。即此端口下接收到的报文的802.1p优先级全为此处配置的优先级。缺省为0
[h3c]interface gigbitethernet1/0/1
[h3c-interface-gigbitethernet1/0/1]priority-trust {cos [automap ]|dscp [automap|remap]} //指定此端口是否信任报文自身的优先级。 不指定automap时,说明信任报文自身的优先级,指定automap就是信任端口的优先级,即此端口配置的优先级是多少,就是多少,或者为自动映射后的优先级。
(2)配置协议报文优先级
[h3c]protocol-priority protocol-type {protocol} {ip-precedence {ip-precedence} |dscp {dscp} } //即指定协议的数据流的IP或DSCP优先级。
[h3c]protocol-priority protocol-type icmp ip-precedence 3 //如,所有ICMP协议的数据报IP优先级为3
(3)优先标记的重配置
[h3c]traffic-priority {user-group |ip-group|link-group} {acl-number} {{dscp {dscp-value} |{ip-precedence {pre-value | from-cos}} |{cos {cos-vaule |from-ipprec}} [local-precedence {pre-vaule|] //标记 ACL匹配数据的 IP优先级, DSCP值,或COS值。 ip-group是指IP型ACL,link-group是指二层ACL
[h3c]traffic-priority ip-group 2000 dscp 56 //把匹配ACL 2000的数据包的DSCP优先级标为56
在接口视图下:
[h3c-interface-gigbitethernet1/0/1]traffic-priority {inbound|outbound} {acl-number} {{dscp {dscp-value} | |{cos {cos-vaule} } //配置接口下的匹配ACL数据的COS优先级或DSCP优先级
(三)流量监管(不能超过此流量)、整形、限速、重定向等
1、流量监管
[h3c]traffic-limit inbound {user-group |ip-group|link-group} {acl-number} {target-rate} [conform {action}] [exceed {action] [metre-statistic] //对在正常流量内的数据流进行一种动作,对超过正常流量的数据流进行一种动作。
target-rate:指定的正常流量。
[h3c]traffic-limit inbound ip-group 2000 128 exceed remark-descp 56 //对ACL2000里的数据流进行监管,速率设成128K,对超过的流量重新标记DSCP值为 56
2、流量整形
[h3c-interface-gigbitethernet1/0/1]traffic-shape [queue {queue-id}] {max-rate} {brust-rate} //配置数据流的最大流量和突发数据流量。 可以针对单个队列中的数据流,也可以针对端口中所有数据流。
[h3c-interface-gigbitethernet1/0/1]traffic-shape 640 16 //对端口1发送的所有流量进行整形,配置最大流量为640K,突发尺寸为15K。
3、端口限速
[h3c-interface-gigbitethernet1/0/1]line-rate {inbound|outbound} {target-rate} //配置端口出口或入口的数据流量
4、重定向
把匹配的数据流重定向到其他端口
[h3c]traffic-redirect inbound {acl} interface {interface} //把入本端口的匹配的数据重定向到某端口。改变报文的转发流程。
5、VLAN mapping
将匹配的报文携带的VLAN编号映射为指定的VLAN编号
[h3c-interface-gigbitethernet1/0/1]traffic-remark-vlanid inbound {acl} remark-vlan {vlan-id} [all-packet |tagged-packet |untagged-packet] //把匹配的数据的VLAN ID映射为某VLAN ID。
6、配置流量统计
[h3c]traffic-statistic inbound {acl} //流量统计。如果在端口下用此命令,就是统计端口下的匹配数据流量。
(四)队列
1、高低优先级调度
把0--3优先级的报文划到低队列中。4--7优先级报文划到高队列中。可以在端口信任时设置报文的优先级,会根据报文优先级自动加入到高低优先级队列。
[h3c]queue-cycle {value} //value表示高低优先级的报文比值。默认值为4 ,即传4个高优先级中的报文,再传1个低优先级中的报文。取值范围0---127。如果取值为0,则表示,传完低优先级中的报文才传高优先级队列中的报文。
2、严格优先调度
先发送完高级队列中的所有报文才发送下一级队列中的报文。
[h3c]queue-scheduler strict-priority
3、加权轮询调度
为每个队列设置权重值,根据队列权重值,划分带宽比例。只有4个队列。端口视图下
[h3c-interface-gigbitethernet1/0/1]queue-scheduler wrr {q1-weight q2-weight q3-weight q4-weight} } //设置4个队列的权重比值。这4个值相加为100.
4、最大时延的加权轮询调度
即WRR的改良。即4个队列中优先级最高的队列当等待时间如果超过了设置的最大时延,就不再等待,直接抢占正在使用的带宽。这样可以保证如VOIP等数据的传送。
[h3c-interface-gigbitethernet1/0/1]queue-scheduler wrr-max-delay {q1-weight q2-weight q3-weight q4-weight} {maxdelay} //设置4个队列的权重比值。这4个值相加为100. maxdelay是指最高优先级队列等待的最长时间。
八、VRRP
1、VRRP原理
即实现三层网关的备份。即多个三层接口(或路由器)组成一个VRRP组,并用其中一个接口作为MASTER,来作为网关,其他的作为备份网关。当MASTER失效后,备份的网关自动接替。
注意:客户端知道的网关只是VRRP组的虚拟网关IP,不是组成VRRP组的实际三层接口的IP。
2、MASTER选举方法
在VRRP组内,指定选举优先级,,优先级高的成为VRRP组的MASTER。
优先级相同时,IP地址大的为MASTER。
MASTER周期性发送消息,备份在一定时间内未收到MASTER的消息时,就开始新一轮的选举。备份成为MASTER。
3、需要配置的重点:
(1)设置VRRP组的组号和虚拟IP地址
[h3c]interface vlan 2
[h3c-vlan-interface2]ip address 192.168.9.2 255.255.255.0
[h3c-vlan-interface2]vrrp vrid 1 virtual-ip 192.168.9.1 //设置VRRP组1的虚拟IP 192.168.9.1
(2)设置交换机在VRRP组中的优先级,以确定MASTER
之不理
[h3c-vlan-interface2]ip address 192.168.9.2 255.255.255.0
[h3c-vlan-interface2]vrrp vrid 1 virtual-ip 192.168.9.1 //设置VRRP组1的虚拟IP 192.168.9.1
[h3c-vlan-interface2]vrrp vrid 1 priority 120 //设置此交换机作为VRRP组1中的优先级为120。缺省为100,取值范围为0---255. 0被系统保留。255被IP地址拥有者占用。的以只能取值为1--254
(3)设置备份成员的抢占方式和延迟时间。
即当备份交换机发现主交换机失效后抢占的方式和抢占延迟时间。默认是抢占模式和0延迟,即立即倒换。
[h3c2]interface vlan 2
[h3c2-vlan-interface2]vrrp vrid 1 preempt-mode timer delay 2 //设置抢占时间为2秒
(4)设置备份组的定时器
即多久没收到主交换机发来的消息,开始确认为主交换机失效。
[h3c2-vlan-interface2]vrrp vrid 1 timer advertise 5 //默认为10秒
(5)监视指定端口
即交换机可以监控其他接口的状态,(如交换机相连接防火墙的接口的状态)。当监视的接口状态发生改变,交换机将改变优先级。
如:监控连接防火墙的端口,当发现那个端口有问题时,说明出外网有问题,就自动降低优先级,以让自已成为备份交换机,而让备份交换机接替自已。当监视端口恢复后,可以再恢复到原来的优先级,成为主交换机。
[h3c]interface vlan 2
[h3c-vlan-interface2]ip address 192.168.9.2 255.255.255.0
[h3c-vlan-interface2]vrrp vrid 1 virtual-ip 192.168.9.1 //设置VRRP组1的虚拟IP 192.168.9.1
[h3c-vlan-interface2]vrrp vrid 1 priority 120 //设置此交换机作为VRRP组1中的优先级为120。缺省为100,取值范围为0---255. 0被系统保留。255被IP地址拥有者占用。的以只能取值为1--254
[h3c-vlan-interface2]vrrp vrid 1 track vlan-interface 3 reduced 30 //当发现接口3出现故障,将降低30优先级。120-30=90 。因为默认为100,所以此时备份交换机会接替此主交换机。此只在主交换机上配置
其他配置:
[h3c-vlan-interface2]vrrp ping-enable //设置虚拟IP地址是否可以ping
[h3c-vlan-interface2]vrrp authentication-mode [NONE | MD5 |SIMPLE] //设置备份组的认证方式。一般不用设置,用在不安全的网络。 simple参数时,后面要接字符,不超过8个。