华为网络设备中常用的安全机制有ACL,AM,ARP绑定,基于MAC的验证,dot1x以及AAA等。
ACL(Access Control List)访问控制列表: 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 分类: 目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。 1.标准的 -检验源地址 -一般允许或禁止整个协议栈 2.扩展的 -检查源和目的地址 -通常允许或者禁止某个具体的协议 注:访问控制列表要绑定到路由器的接口的输入或输出方向上 工作原理: 通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。 ACL 原则 每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。 路由器ACL(华为默认允许所有通过) 1000-1999 预留 2000-2999 标准访问列表规则 3000-3999 扩展访问列表规则 4000-4099 MAC地址访问列表 4100-4199 以太帧协议类型访问列表 入站访问控制列表:先比对访问控制列表,后比对路由表 出站访问控制列表:先比对路由表,后比对访问控制列表 时间访问控制列表 案例:设置时间访问控制,08:00-12:00和14:00-18:00允许访问, #timerange enable #settr 08:00 12:00 14:00 18:00 设置时间范围 #acl 2000 #rule special permit source 192.168.2.0 0.0.0.255 注:special 指定本规则加入到时间段规则中 #dis clock 查看系统时间 #clock 09:18:00 31 03 2012 设置系统时间 交换机ACL 华为匹配规则:配置优先,深度优先 (默认配置优先) 2000-2999 标准访问列表规则 3000-3999 扩展访问列表规则 #acl number 2000(match-order config//配置优先auto//深度优先) #rule permit source any #rule deny source 192.168.2.100 0 #display acl all 查看访问控制列表 AM access manager 访问管理 功能:1.端口和IP的绑定2.端口隔离 1.端口和IP的绑定 port---ip #vlan 2 #port e0/2 #vlan 3 #port e0/3 #inter vlan-interface 2 #ip add 192.168.2.254 255.255.255.0 #interface e0/3 #ip add 192.168.3.254 255.255.255.0 #am ip-pool 192.168.2.43 2.端口隔离 (不是所有的交换机都支持) #am enable #interface e0/2 #am isolate e0/3 #arp static 192.168.101.1 MAC地址 AAA(Authentication,Authorization and Accounting) AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简 称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实 际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器。 具有访问权的用户可以得到哪些服务。 如何对正在使用网络资源的用户进行计费。 针对以上问题,AAA必须提供认证功能、授权功能和计费功能。 ARP绑定
为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
MAC地址: 网络中被控制的计算机的MAC地址。
IP地址: 设定被控制计算机MAC地址的主机的IP地址。
绑定: 是否使能改MAC和IP的绑定匹配
编辑: 可以对条目进行修改或者直接删除
