华为网络设备上的常用安全技术

 
概述：
安全技术1：AAA
说明
      AAA 是 Authentication，Authorization and Accounting（认证、授权和计费）的简
称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制，包括： 哪些用户可以访问网络服务器。 具有访问权的用户可以得到哪些服务。 如何对正在使用网络资源的用户进行计费。即认证功能、授权功能和计费功能。
AAA 支持以下认证方式：
不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。
本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设
备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设
备硬件条件限制。
远端认证：支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证，设备
（如 Quidway 系列交换机）作为客户端，与 RADIUS 服务器或 TACACS 服务
器通信。对于 RADIUS 协议，可以采用标准或扩展的 RADIUS 协议。
AAA 是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用 RADIUS 协议来实现 AAA。 案例：关于利用radius 实现对用户telnet的控制

AAA
利用windows自带组件做RADIUS服务器






新建test1账号，允许拨入



 
交换机配置
SW3 100.23
radius scheme xxx                       配置RADIUS方案
primary authentication 100.100       验证服务器地址
key authentication 654321              交互报文时的共享密钥
user-name-format without-domain    登录时不用域名@tec
accounting optional                       计费
server-type standard                     服务类型可以选择standard类型或huawei类型
 
domain tec                                    配置domain
radius-scheme xxx                         引用RADIUS方案
access-limit enable 10                      限制接入用户数量
accounting optional
(dot1x authentication-method )
 
SW4
int vlan 1      100.24
radius scheme xxxx           
primary authen 100.100
key authen 123456
accounting optional
server-type standard
domain tec                       配置domain
radius-scheme xxx
access-limit enable 10       
accounting optional


 
 
安全技术2：arp
说明
       ARP（Address Resolution Protocol，地址解析协议）用于将网络层的IP地址解析为数据链路层的物理地址（MAC地址）。网络设备进行网络寻址时只能识别数据链路层的MAC地址，不能直接识别来自网络层的IP地址。如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此网络设备在发送报文之前必须将目的主机的IP地址解析为它可以识别的MAC地址。






案例
将主机mac与ip地址绑定



系统视图：
arp timer aging 60 arp表老化时间
arp static 192.168.100.100 aaaa-aaaa-aaaa
安全技术3：mac
说明
为了快速转发报文，以太网交换机需要维护MAC地址转发表。MAC地址转发表是一张基于端口的二层转发表，是以太网交换机实现二层报文快速转发的基础
设置合适的老化时间可以有效实现MAC地址的老化功能。用户设置的老化时间过长或者过短，都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文，影响交换机的运行性能。
以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC地址。对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。如果MAC地址转发表过于庞大，可能导致以太网交换机的转发性能下降。
通过设置以太网端口最多学习到的MAC地址数，用户可以控制以太网交换机维护的MAC地址转发表的表项数量。当端口学习到的MAC地址条数达到用户设定的最大值时，该端口将不再对MAC地址进行学习
案例



显示地址表动态表项的老化时间
display mac-address aging-time
设置交换机上动态MAC地址表项的老化时间为500秒。
mac-address timer aging 500
设置端口最多可以学习到的MAC地址数量
mac-address max-mac-count count
mac-adress static aaaa-aaaa-aaaa interface Ethernet 0/1 vlan 1
安全技术4：dot1x
说明
       802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。 
       使用802.1x的系统为典型的Client/Server体系结构，包括三个实体：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器）
 
 
案例
1.要求在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是基于MAC地址的接入控制。
2.所有接入用户都属于一个缺省的域：aabbcc.net，该域最多可容纳30个用户；认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线；此外，接入时在用户名后不添加域名，正常连接时如果用户有超过 20分钟流量持续小于2000Bytes的情况则切断其连接。
3. 由两台RADIUS服务器组成的服务器组与交换机相连，其IP地址分别为10.11.1.1和10.11.1.2，前者作为主认证/备份计费服务器，后者作为备份认证/主计费服务器；设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码 “money”，设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5次，设置系统每15 分钟就向RADIUS服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
4.本地802.1x接入用户的用户名为localuser，密码为localpass，使用明文输入，闲置切断功能处于打开状态



radius scheme 2000
primary authentication 10.11.1.1 1812
primary accouting 10.11.1.1 1813
# 开启全局802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
# 开启指定端口Ethernet 1/0/1的802.1x特性。
[Sysname] dot1x interface Ethernet 1/0/1
# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
# 创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
# 设置系统与认证RADIUS服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的加密密码。
[Sysname-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Sysname-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建域aabbcc.net并进入其视图。
[Sysname] domain aabbcc.net
# 指定radius1为该域用户的RADIUS方案，若RADIUS服务器无效，则使用本地认证方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[Sysname-isp-aabbcc.net] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[Sysname-isp-aabbcc.net] idle-cut enable 20 2000
[Sysname-isp-aabbcc.net] quit
# 配置域aabbcc.net为缺省用户域。
[Sysname] domain default enable aabbcc.net
# 添加本地接入用户。
[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple localpass
安全技术5：acl
说明
      ACL（Access Control List，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。
根据应用目的，可将ACL分为下面几种： 
      基本ACL：只根据三层源IP地址制定规则。 
      高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。 
      二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
应用方式
1. 直接下发到硬件中
2. 被上层模块引用 
匹配顺序（match-order）：
1.配置优先：根据配置顺序匹配ACL规则。config Config order 
2.深度优先：根据“深度优先”规则匹配ACL规则。auto Auto order

案例
 
在终端接口上应用acl控制telnet



交换机的端口默认都是属于vlan1（管理vlan）



这里管理地址为192.168.100.25
更改时进入接口模式：int Vlan-interface 1  
[sw5-Vlan-interface1]ip address ?
  X.X.X.X      IP address
此时可以通过任意端口telnet进入交换机，当然前提是有账户 



[sw5]acl number 2000
[sw5-acl-basic-2000]rule deny source 192.168.100.28 0
应用在终端接口上：
        [sw5]user-interface vty 0 4
        First-Last user terminal interface number to be configured
[sw5-ui-vty0-4]acl 2000 inbound    （因为是拒绝登陆，所以选择inbound）
inbound   Filter login connections from current UI
outbound  Filter logout connections from current UI


 
应用acl之后虽然可以ping通，但是已经不能telnet了
取消acl
[sw5-ui-vty0-4]undo acl inbound ?
  <cr>



取消之后就可以重新登陆了，这说明我们的acl是有效的
安全技术6：am
说明
通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。
目前一台设备只支持建立一个隔离组，组内的以太网端口数量不限
案例1：隔离端口1、2



[sw5]am enable开启端口隔离
将端口eth0/1和 eth0/2加入同一vlan
vlan 10
[sw5-vlan10]port Ethernet 0/1
[sw5-vlan10]port Ethernet 0/2



此时他们是可以互相通信的，下面做端口隔离：
进入接口视图：
[sw5-vlan10]int eth0/1
[sw5-Ethernet0/1]am isolate Ethernet 0/1
[sw5-vlan10]int eth0/2
[sw5-Ethernet0/1]am isolate Ethernet 0/2



此时已经不通了，更改端口测试可以ping通100.41，说明端口隔离有效


 
 
案例2：
采用案例1方案：



做端口隔离的时候可以划分端口范围：
如将端口1与2-5隔离开：
interface Ethernet 0/1
am isolate Ethernet 0/2 to eth0/5
B在2-5端口测试结果



 
将B换到除了前5个端口的任意端口



可以通信
访问、管理IP 地址池
am ip-pool  X.X.X.X      IP address
如设置ip范围192.168.100.20~30可以使用1端口     



192.168.100.30~40      



因为这两台机器都是处在ip-pool范围内，所以可以通信



将ip改为地址范围之外：



无法通信：