华为网络设备中常用安全技术
2012-04-01 08:14
1016 查看
ACL(Access Control List)访问控制列表:
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
分类:
目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。
1.标准的
-检验源地址
-一般允许或禁止整个协议栈
2.扩展的
-检查源和目的地址
-通常允许或者禁止某个具体的协议
注:访问控制列表要绑定到路由器的接口的输入或输出方向上
工作原理:
通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。
ACL 原则
每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
路由器ACL(华为默认允许所有通过)
1000-1999 预留
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
4000-4099 MAC地址访问列表
4100-4199 以太帧协议类型访问列表
入站访问控制列表:先比对访问控制列表,后比对路由表
出站访问控制列表:先比对路由表,后比对访问控制列表
时间访问控制列表
案例:设置时间访问控制,08:00-12:00和14:00-18:00允许访问,
#timerange enable
#settr 08:00 12:00 14:00 18:00 设置时间范围
#acl 2000
#rule special permit source 192.168.2.0 0.0.0.255
注:special 指定本规则加入到时间段规则中
#dis clock 查看系统时间
#clock 09:18:00 31 03 2012 设置系统时间
交换机ACL
华为匹配规则:配置优先,深度优先 (默认配置优先)
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
#acl number 2000(match-order config//配置优先auto//深度优先)
#rule permit source any
#rule deny source 192.168.2.100 0
#display acl all 查看访问控制列表
AM access manager 访问管理
功能:1.端口和IP的绑定2.端口隔离
1.端口和IP的绑定 port---ip
#vlan 2
#port e0/2
#vlan 3
#port e0/3
#inter vlan-interface 2
#ip add 192.168.2.254 255.255.255.0
#interface e0/3
#ip add 192.168.3.254 255.255.255.0
#am ip-pool 192.168.2.43
2.端口隔离 (不是所有的交换机都支持)
#am enable
#interface e0/2
#am isolate e0/3
ARP绑定
为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
MAC地址: 网络中被控制的计算机的MAC地址。
IP地址: 设定被控制计算机MAC地址的主机的IP地址。
绑定: 是否使能改MAC和IP的绑定匹配
编辑: 可以对条目进行修改或者直接删除
#arp static 192.168.101.1 MAC地址
AAA (认证、授权和计费)
认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存 放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
案例三
[align=left]需要通过交换机实现登录交换机的telnet用户进行本地认证[/align]
[align=left][b]交换机配置如下:[/align]
radius scheme xxxprimary authen 192.168.100.100key authentication 123456user-name -formatt without-domain accounting option server-type huaweiquitdomain tec radius-scheme xxxaccess-limit enable 10accouting optionquit
vlan 1#interface Vlan-interface1 ip address 192.168.100.25 255.255.255.0
[/b]
本文出自 “花开花落,云卷云舒” 博客,请务必保留此出处http://zxlyun618.blog.51cto.com/4466548/822840
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
分类:
目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。
1.标准的
-检验源地址
-一般允许或禁止整个协议栈
2.扩展的
-检查源和目的地址
-通常允许或者禁止某个具体的协议
注:访问控制列表要绑定到路由器的接口的输入或输出方向上
工作原理:
通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。
ACL 原则
每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
路由器ACL(华为默认允许所有通过)
1000-1999 预留
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
4000-4099 MAC地址访问列表
4100-4199 以太帧协议类型访问列表
入站访问控制列表:先比对访问控制列表,后比对路由表
出站访问控制列表:先比对路由表,后比对访问控制列表
时间访问控制列表
案例:设置时间访问控制,08:00-12:00和14:00-18:00允许访问,
#timerange enable
#settr 08:00 12:00 14:00 18:00 设置时间范围
#acl 2000
#rule special permit source 192.168.2.0 0.0.0.255
注:special 指定本规则加入到时间段规则中
#dis clock 查看系统时间
#clock 09:18:00 31 03 2012 设置系统时间
交换机ACL
华为匹配规则:配置优先,深度优先 (默认配置优先)
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
#acl number 2000(match-order config//配置优先auto//深度优先)
#rule permit source any
#rule deny source 192.168.2.100 0
#display acl all 查看访问控制列表
AM access manager 访问管理
功能:1.端口和IP的绑定2.端口隔离
1.端口和IP的绑定 port---ip
#vlan 2
#port e0/2
#vlan 3
#port e0/3
#inter vlan-interface 2
#ip add 192.168.2.254 255.255.255.0
#interface e0/3
#ip add 192.168.3.254 255.255.255.0
#am ip-pool 192.168.2.43
2.端口隔离 (不是所有的交换机都支持)
#am enable
#interface e0/2
#am isolate e0/3
ARP绑定
为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
MAC地址: 网络中被控制的计算机的MAC地址。
IP地址: 设定被控制计算机MAC地址的主机的IP地址。
绑定: 是否使能改MAC和IP的绑定匹配
编辑: 可以对条目进行修改或者直接删除
#arp static 192.168.101.1 MAC地址
AAA (认证、授权和计费)
认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存 放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
案例三
[align=left]需要通过交换机实现登录交换机的telnet用户进行本地认证[/align]
[align=left][b]交换机配置如下:[/align]
radius scheme xxxprimary authen 192.168.100.100key authentication 123456user-name -formatt without-domain accounting option server-type huaweiquitdomain tec radius-scheme xxxaccess-limit enable 10accouting optionquit
vlan 1#interface Vlan-interface1 ip address 192.168.100.25 255.255.255.0
[/b]
本文出自 “花开花落,云卷云舒” 博客,请务必保留此出处http://zxlyun618.blog.51cto.com/4466548/822840
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 华为网络设备上的常用安全技术(一)
- 华为网络设备上的常用安全技术(二)
- 华为网络设备上常用的安全技术
- 华为网络设备上常用的安全技术 推荐
- 华为网络设备上的常用安全技术
- 华为网络设备上常用的安全技术2
- 华为网络设备上常用的安全技术(一)
- 华为网络设备上的常用安全技术
- 华为网络设备上的常用安全技术
- 华为网络设备上常用的安全技术(二)
- 华为网络设备上的常用安全技术(一)
- 华为网络设备上常用的安全技术
- 华为网络设备上的常用安全技术(二)
- 华为网络设备上常用的安全技术
- 华为网络设备上常用的安全技术(三)
- 华为网络设备常用安全技术
- 华为设备上常用的安全技术
- 网络设备上常用的安全技术
- 网络设备上常用的安全技术