华为网络设备上的常用安全技术

常用的技术有：

acl  、AAA、 dotlx、MAC绑定、arp绑定、am

安全技术1：ACL

  ACL： ACL（Access Control List，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。

  ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

由ACL定义的数据包匹配规则，可以被其它需要对流量进行区分的功能引用，如QoS中流分类规则的定义。

  基本ACL：只根据三层源IP地址制定规则。

  高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

  二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

  用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。

  100 ～199：表示WLAN ACL；

  2000 ～2999：表示IPv4 基本ACL；

  3000 ～3999：表示IPv4 高级ACL；

  4000 ～4999：表示二层ACL；

  5000 ～5999：表示用户自定义ACL。

  创建时间段：time-range

ACL案例：

  1.基本ACL

      配置ACL 2000，禁止源地址为1.1.1.1的报文通过

     <Quidway> system-view

 

     [Quidway] acl number 2000

     [Quidway-acl-basic-2000] rule deny source 1.1.1.1 0

  2.高级ACL  

      配置ACL 3000，拒绝从192.168.10.1的主机向192.168.10.10的主机发送的ping命令。

    <Quidway>system-view

 

    [Quidway] acl number 3000

    [Quidway-acl-adv-3000] rule 10 permit icmp source 192.168.10.1 0 destination 192.168.10.10 0 

 

  3.二层ACL   

       禁止192.168.10.100与192.168.10.200通信

 

       192.168.10.100的MAC地址为：00ae-1dd6-456d 对应的接口为eth1

       192.168.10.200的MAC地址为：121a-8a2e-c009 对应的接口为eth2

 

      acl number 4000

      rule 10 deny ingress 00ae-1dd6-456d 0000-0000-0000 interface Ethernet 0/1 egress 121a-8a2e-c009 0000-0000-0000 interface Ethernet 0/2

    安全技术2：AAA

 

     AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：

 1.哪些用户可以访问网络服务器

 2.具有访问权的用户可以得到哪些服务。 

 3.如何对正在使用网络资源的用户进行计费。

 认证功能：

     支持的认证方式：1.不认证  2.本地认证 3.远程认证

 授权功能：

    授权方式：1.直接授权  2.本地授权 3.RADIUS认证成功后授权 4.HWTACACS授权

 计费功能：

    1.不计费  2.远端计费

案例：

   配置要求： 通过配置交换机实现对登录交换机的Telnet用户进行本地认证。

 

 

 

   配置方法：

   创建本地用户telnet

   local-user user1

   service-type telnet level 3

   password simple 123

   配置Telnet用户采用AAA认证方式。

  user-interface vty 0 4

  authentication-mode scheme

  配置缺省system域采用的认证方式。

  domain system

  使用Telnet登录时输入用户名为telnet@system，以使用system域进行认证。

 

安全技术3：802.1x

 

    802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议。

   使用802.1x的系统为典型的Client/Server体系结构，包括三个实体：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器）。

   Quidway系列交换机支持以下两种端口受控方式：基于端口的认证，基于MAC的认证。

 组网要求：

 1.在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是 基于MAC地址的接入控制

 2.  本地802.1x接入用户的用户名为localuser，密码为localuser，使用明文输入，闲置切断功能处于打开状

 拓扑图：

 

 配置方法：

<Sysname> system-view

[Sysname] dot1x

开启指定端口Ethernet 1/0/1的802.1x特性。

[Sysname] dot1x interface Ethernet 1/0/1

设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[Sysname] dot1x port-method macbased interface Ethernet 1/0/1

创建RADIUS方案radius1并进入其视图。

[Sysname] radius scheme radius1

设置主认证/计费RADIUS服务器的IP地址。

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

设置备份认证/计费RADIUS服务器的IP地址。

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

设置系统与认证RADIUS服务器交互报文时的加密密码。

[Sysname -radius-radius1] key authentication money1

设置系统与计费RADIUS服务器交互报文时的加密密码。

[Sysname-radius-radius1] key accounting money2

设置系统向RADIUS服务器重发报文的时间间隔与次数。

[Sysname-radius-radius1] timer 5

[Sysname-radius-radius1] retry 5

设置系统向RADIUS服务器发送实时计费报文的时间间隔。

[Sysname-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

创建域abc.net并进入其视图。

[Sysname] domain abc.net

指定radius1为该域用户的RADIUS方案，若RADIUS服务器无效，则使用本地认证方案。

[Sysname-isp-abc.net] scheme radius-scheme radius1 local

设置该域最多可容纳30个用户。

[Sysname-isp-abc.net] access-limit enable 30

启动闲置切断功能并设置相关参数。

[Sysname-isp-abc.net] idle-cut enable 20 2000

配置域aabbcc.net为缺省用户域。

[Sysname] domain default enable abc.net

添加本地接入用户。

[Sysname] local-user localuser

[Sysname-luser-localuser] service-type lan-access

[Sysname-luser-localuser] password simple localuser

安全技术4：MAC地址绑定 

 配置要求：管理员希望在端口eth0/2上对用户经行端口绑定，以控制用户访问Internet

 配制方法：mac static  1111-2222-3333 interface ethernet 0/2 vlan 1

安全技术5：ARP绑定

      ARP，即地址解析协议，实现通过IP地址得知其物理地址。目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。下面来了解以下三种方法：静态绑定、Antiarp和具有ARP防护功能的路由器。

 

   案例1：静态绑定

     system-vew

     arp static ip-address mac-address [ vlan-id interface-type interface-number ]

安全技术6：AM  

 

    当以太网交换机接入的用户数量不多时，从成本方面考虑，分配给不同机构的端口要求属于同一个VLAN。同时，为每个机构分配固定的IP 地址范围，只有IP 地址在该地址范围内的用户才能通过该端口接入外部网络。另外，出于安全的考虑，不同机构之间不能互通。利用以太网交换机提供的端口间的二层隔离功能可以实现这些需求。

    访问管理的主要配置：

     1.开启访问管理功能   am enable 

     2.配置基于端口的访问管理 IP 地址池 

     3.配置端口间的二层隔离

     4.开启访问管理告警功能

  组网要求：

   机构 1 连接到以太网交换机的端口1，机构2 连接到以太网交换机的端口2。端口1和端口2 属于同一个VLAN。端口1 下可以接入的IP 地址范围为202.10.20.1～202.10.20.20；端口2 下可以接入的IP 地址范围202.10.20.21202.10.20.50；

机构1 和机构2 的设备不能互通。

  拓扑图：

 配置方法:

 

  将eth1/0/1与eth1/0/2都加入到vlan10中

 vlan 10

 port ethernet 1/0/1

 

 port ethernet 1/0/2

<Quidway> system-view

[Quidway] am enable

 配置端口1 上的访问管理IP 地址池。

[Quidway] interface ethernet 1/0/1

[Quidway-Ethernet1/0/1] am ip-pool 202.10.20.1 20

 将端口1加入隔离组。

[Quidway-Ethernet1/0/1] port isolate

 配置端口2 上的访问管理IP 地址池。

[Quidway] interface ethernet1/0/2

[Quidway-Ethernet1/0/2] am ip-pool 202.10.20.21 30

 将端口2 加入隔离组。

[Quidway-Ethernet1/0/2] port isolate