华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
华为网络设备上常用的安全技术:
概述:
ACL AM MAC ARP AAA Dot1x 文章目录:
安全技术1:ACL(访问控制列表) 安全技术2:AM(访问管理配置)
安全技术3:MAC绑定 安全技术4:ARP绑定 安全技术5:AAA 安全技术6:802.1x
安全技术1:ACL
说明:ACL(Access Control List,访问控制列表)
ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 基本 ACL:只根据数据包的源IP 地址制定规则。
高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。
用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。(华为设备默认允许) 100~199:表示WLAN ACL; 2000~2999:表示IPv4 基本ACL; 3000~3999:表示IPv4 高级ACL; 4000~4999:表示二层ACL; 5000~5999:表示用户自定义ACL。 创建时间段:time-range
案例1-1:标准ACL实验
1. 组网需求
禁止192.168.1.100/24通过telnet访问192.168.1.1/24,其它主机不受限制
2. 组网图
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
3. 配置步骤
int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0 quit
acl number 2000
rule 10 deny source 192.168.1.100 0 quit
应用acl之前测试:192.168.1.100可以通过telnet访问192.168.1.1
应用acl:
user-interface vty 0 4
acl 2000 inbound quit
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
应用acl之后测试:192.168.1.100不可以通过telnet访问192.168.1.1
192.168.1.100修改IP地址之后在尝试登录,可成功登录
案例1-2:高级ACL实验
1. 组网需求
禁止192.168.10.100/24与192.168.1.200/24之间ping测试,其它主机不受限制,其它服务不受限制。
2. 组网图
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
3. 配置步骤
#在交换机上进行如下配置: int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0 quit vlan 10
port Ethernet 0/1 quit
int Vlan-interface 10
ip add 192.168.10.1 255.255.255.0 quit
#192.168.10.100pc去ping测试192.168.1.200pc
#192.168.1.200pc去ping测试192.168.10.100pc
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
#配置ACL 3000
acl number 3000
rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0
quit #应用ACL
packet-filter ip-group 3000 rule 10 #查看ACL信息 [S10]dis acl config all Advanced ACL 3000, 1 rule,
rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)
[S10]dis acl running-packet-filter all Acl 3000 rule 10 运行
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
#客户端进行测试:zhujunjie-pc的ip地址为192.168.10.100,zhuchaobo-pc的ip地址为192.168.1.200
zhuchaobo-pc修改ip地址为192.168.1.20之后在进行测试:可以通信。
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
案例1-3:二层ACL实验二层访问控制列表
二层访问控制列表根据源MAC 地址、源VLAN ID、二层协议类型、报文二层 接收端口、报文二层转发端口、目的MAC 地址等二层信息制定规则,对数据 进行相应处理。
1. 组网需求
使用二层ACL,禁止192.168.100.100与192.168.100.200通信
2. 组网图
注:zhujunjie-pc的192.168.100.100和MAC地址为:88ae-1dd6-489d
zhuchaobo-pc的192.168.100.200和MAC地址为:
206a-8a2e-c911
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
注:交换机版本为: [sw1]dis version
Huawei Versatile Routing Platform Software
VRP Software, Version 3.10, Release 0041P02
3. 配置步骤
配置二层ACL之前:测试
[sw1]dis arp
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
IP Address MAC Address VLAN ID Port Name Aging Type
192.168.100.200 206a-8a2e-c911 1 Ethernet0/22 20 Dynamic
192.168.100.100 88ae-1dd6-489d 1 Ethernet0/1 20 Dynamic
#在交换机上配置ACL acl number 4000
rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet 0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet 0/22
quit
#在交换机上应用ACL
packet-filter link-group 4000 rule 10
[sw1]dis acl config all Link ACL 4000, 1 rule,
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface
Ethernet0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet0/22
[sw1]dis acl running-packet-filter all Acl 4000 rule 10 运行
#测试
#取消应用后,再测试
undo packet-filter link-group 4000 rule 10
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
安全技术2:AM访问管理配置
说明:am访问管理配置
当以太网交换机接入的用户数量不大时,为了降低组网成本,局域网服务提 供者可以不使用认证计费服务器以及DHCP 服务器,而使用以太网交换机提
供的一种低成本简单可行的替代方案。在这个低成本的替代方案中用到了交
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
换机的两个特性功能:端口和IP 地址的绑定、端口间的二层隔离。
通过在以太网交换机的端口上配置二层隔离功能,用户可以控制端口1 发出的帧不被端口2 接收,端口2发出的帧不被端口1 接收,从而将端口1 与端口2 隔离开来。从而保证了各机构的PC 只能与机构内的其他PC 正常通信,并且确保了各机构内指定的PC 可以与外部网络正常通信。 # 全局开启访问管理功能 [Quidway] am enable
# 配置端口e0/1 上的访问管理IP 地址池
[Quidway-Ethernet0/1] am ip-pool 202.10.20.1 20
# 设置端口e0/1 的二层隔离端口为e0/2功能 [Quidway-Ethernet0/1] am isolate ethernet0/2
案例2-1:AM二层端口隔离
1. 组网需求
使以太网交换机端口e0/1与端口e0/2二层隔离。
2. 组网图
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
3. 配置步骤
隔离:
am enable vlan 10
port Ethernet 0/1 port Ethernet 0/2 quit
interface Ethernet 0/1 am isolate Ethernet 0/2 quit
interface Ethernet 0/2 am isolate Ethernet 0/1
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
quit
端口e 0/1中客户192.168.1.1与e 0/2的客户192.168.1.2ping测试: 启用am之前:
启用am之后:
华为网络设备应用的技术包括ACL,AM,MAC,ARP,AAA,Dot1x的介绍及配置
此时,更换端口之e0/3和e0/4之后,在测试
