华为设备安全技术 (三)

 

am

访问控制

访问管理功能是指：在接入层以太网交换机的端口上，通过配置端口的访问管理IP 地址池，将指定范围的IP 地址与端口进行绑定。

 

 

端口隔离

通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。

端口隔离特性与以太网端口所属的VLAN 无关

端口隔离与端口聚合的关系
当聚合组中的某个端口加入到隔离组后，同一聚合组内的其它端口，均会自动加入
隔离组中。

 

案例

pc1 pc2  分别 与交换机 e 1/0/1  e 1/0/2 相连  e 1/0/10 与外网相连

 

配置步骤

int e 1/0/1

    port  isolate

    q

int e 1/0/2

port  isolate

q

 

 

arp 绑定

ARP 即地址解析协议

网络设备进行网络寻址时只能识别数据链路层的MAC地址，不能直接识别来自网
络层的IP 地址。如果要将网络层中传送的数据报交给目的主机，必须知道该主机的
MAC地址。因此网络设备在发送报文之前必须将目的主机的IP 地址解析为它可以
识别的MAC地址。

主要用于从IP 地址到以太网MAC 地址的解析。

如将ARP 映射表绑定，就可以防止一般的ARP欺骗***。防止ARP病毒***的最有效手段：双向静态ARP绑定

注意： 
   静态ARP映射项在以太网交换机正常工作时间一直有效，但如果更改或者删除
VLAN 虚接口，或者执行删除VLAN 或把端口从VLAN 中删除等使ARP表项不
再合法的操作，则ARP表项都将被自动删除。 
   参数vlan-id 必须是已经存在的VLAN ID ，且 vlan-id 参数后面指定的以太网端口
必须属于这个VLAN。 
   目前，不支持在聚合端口上配置静态ARP映射项。

注意： 
   静态ARP映射项在以太网交换机正常工作时间一直有效，但如果更改或者删除
VLAN 虚接口，或者执行删除VLAN 或把端口从VLAN 中删除等使ARP表项不
再合法的操作，则ARP表项都将被自动删除。 
   参数vlan-id 必须是已经存在的VLAN ID ，且 vlan-id 参数后面指定的以太网端口
必须属于这个VLAN。 
   目前，不支持在聚合端口上配置静态ARP映射项。

案例

 

设 交换机动态ARP老化时间为20分钟   设一静态ARP ip地址为192.168.2.33  对应

mac为 00e0-fc00-ff40  对应端口为属于vlan10的 e 1/0/12

 

 

arp timer aging 20

arp static 192.168.2.33 1111-2222-1111

 

mac 绑定

通过交换机 对用户 的mac进行绑定 实现 控制 别人冒充ip进行上网

 

案例

在端口e 1/0/10 上进行mac认证

sys

vlan 10

port e 1/0/10

q

int e 1/0/10

mac-address static 1111-1111-1111 vlan 10

 

 

802.1q

802.1x 协议是一种基于端口的网络接入控制

基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所
接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访
问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连
接被物理断开。

802.1x 提供了一个用户身份认证的实现方案，为了实现此方案，除了配置802.1x
相关命令外，还需要在交换机上配置AAA方案

 

案例

本地802.1q 接入用户名为user1密码为123456使用明文输入

闲置切断功能处于打开状态。

 

开启全局802.1x 特性

sys

dot1x

dot1x int e 1/0/1

dot1x port-method macbased int e 1/0/1

 

radius scheme radius1

primary auth 192.168.2.100

primary accoun  192.168.2.101

 

scondary  auth  192.168.2.101

scondary  account  192.168.2.100

key auth name

key account money

timer 5

retry  5

 

timer  realtime-acc   15

user-name-format  without-domain

q

 

domain  default  enable  abc.net

scheme  radius-scheme  radius loacal

 

access-limit  enable  30

 

idle-cut  enable  20  2000

q

 

domain  default  enable  abc.net

 

local-user  user1

service-type  lan-access

password  simple  localpass

转载于:https://blog.51cto.com/xingshobo1989/823370