华为网络设备中常用的安全机制有ACL,AM,ARP绑定,基于MAC的验证,dot1x以及AAA等。
ACL(Access Control List)访问控制列表:
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
分类:
目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。
1.标准的
-检验源地址
-一般允许或禁止整个协议栈
2.扩展的
-检查源和目的地址
-通常允许或者禁止某个具体的协议
注:访问控制列表要绑定到路由器的接口的输入或输出方向上
工作原理:
通过分析IP数据包包头信息,进行判断(这里IP所承受的上层协议为TCP)可以过滤IP,IPX,二层。
ACL 原则
每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
路由器ACL(华为默认允许所有通过)
1000-1999 预留
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
4000-4099 MAC地址访问列表
4100-4199 以太帧协议类型访问列表
入站访问控制列表:先比对访问控制列表,后比对路由表
出站访问控制列表:先比对路由表,后比对访问控制列表
时间访问控制列表
案例:设置时间访问控制,08:00-12:00和14:00-18:00允许访问,
#timerange enable
#settr 08:00 12:00 14:00 18:00 设置时间范围
#acl 2000
#rule special permit source 192.168.2.0 0.0.0.255
注:special 指定本规则加入到时间段规则中
#dis clock 查看系统时间
#clock 09:18:00 31 03 2012 设置系统时间
交换机ACL
华为匹配规则:配置优先,深度优先 (默认配置优先)
2000-2999 标准访问列表规则
3000-3999 扩展访问列表规则
#acl number 2000(match-order config//配置优先auto//深度优先)
#rule permit source any
#rule deny source 192.168.2.100 0
#display acl all 查看访问控制列表
AM access manager 访问管理
功能:1.端口和IP的绑定2.端口隔离
1.端口和IP的绑定 port---ip
#vlan 2
#port e0/2
#vlan 3
#port e0/3
#inter vlan-interface 2
#ip add 192.168.2.254 255.255.255.0
#interface e0/3
#ip add 192.168.3.254 255.255.255.0
#am ip-pool 192.168.2.43
2.端口隔离 (不是所有的交换机都支持)
#am enable
#interface e0/2
#am isolate e0/3
ARP绑定
为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
MAC地址: 网络中被控制的计算机的MAC地址。
IP地址: 设定被控制计算机MAC地址的主机的IP地址。
绑定: 是否使能改MAC和IP的绑定匹配
编辑: 可以对条目进行修改或者直接删除
#arp static 192.168.101.1 MAC地址
AAA(Authentication,Authorization and Accounting)
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实
际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
转载于:https://blog.51cto.com/4478280/822698