概述:在網絡資訊越來越發達的時代,網絡上的資訊洩漏等安全問題也越來越多,各種安全技術也随之産生。
現在,我對華為網絡裝置上常用的安全技術做個總結。
一、端口彙聚
端口彙聚是将多個端口彙聚在一起形成一個彙聚組,在彙聚組中的各個成員端口之
間,實作出/入負荷的分擔,同時也提供了更高的連接配接可靠性。
按照彙聚組類型的不同,端口彙聚組可以分為負載分擔彙聚組和非負載分擔彙聚組。
同一個彙聚組中端口的基本配置必須保持一緻,基本配置主要包括 STP、QoS、
VLAN、端口屬性等相關配置。
STP 配置一緻,包括:端口的 STP 使能/關閉、與端口相連的鍊路屬性(如點
對點或非點對點)、STP 優先級、封包發送速率限制、是否環路保護、是否根
保護、是否為邊緣端口。
QoS 配置一緻,包括:流量限速、優先級标記、預設的 802.1p 優先級、帶寬
保證、擁塞避免、流重定向、流量統計等。
VLAN 配置一緻,包括:端口上允許通過的 VLAN、端口預設 VLAN ID。
端口屬性配置一緻,包括:端口的速率、雙工模式、鍊路類型(即 Trunk、Hybrid、
Access 類型)。
在将以太網端口加入彙聚組時,需要注意的是:
鏡像目的端口、配置了靜态 MAC 位址的端口、配置了靜态 ARP 的端口、以及
使能 802.1x 的端口不能加入彙聚組。
當手工彙聚組中隻包含一個端口時,不能将該端口從彙聚組中删除,而隻能通
過删除彙聚組的方式将該端口從彙聚組中删除。
如果使用者在一個彙聚組中配置的端口數大于 4 個,那麼端口号較小的前 4 個端
口将實作流量的負載分擔,剩餘端口将作為鍊路備份。
端口彙聚典型配置舉例
1. 組網需求
以太網交換機 Switch A 使用 3 個端口(Ethernet1/0/1~Ethernet1/0/3)彙聚接入以
太網交換機 Switch B,實作出/入負荷在各成員端口中的負載分擔。
2. 組網圖
3. 配置步驟
說明:
以下隻列出對 Switch A 的配置,對 Switch B 也需要作相應的配置,才能實作端口
彙聚。
# 建立手工彙聚組 1。
<Quidway> system-view
[Quidway] link-aggregation group 1 mode manual
# 将以太網端口 Ethernet1/0/1 至 Ethernet1/0/3 加入彙聚組 1。
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] port link-aggregation group 1
[Quidway-Ethernet1/0/1] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port link-aggregation group 1
[Quidway-Ethernet1/0/2] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port link-aggregation group 1
二、端口隔離
通過端口隔離特性,使用者可以将需要進行控制的端口加入到一個隔離組中,實作隔
離組中的端口之間二層、三層資料的隔離,既增強了網絡的安全性,也為使用者提供
了靈活的組網方案。
目前一台裝置隻支援建立一個隔離組,組内的以太網端口數量不限。
說明:端口隔離特性與以太網端口所屬的 VLAN 無關。
端口隔離與端口聚合的關系
當聚合組中的某個端口加入到隔離組後,同一聚合組内的其它端口,均會自動加入
隔離組中。
端口隔離配置舉例
小區使用者 PC2、PC3、PC4 分别與交換機的以太網端口 Ethernet1/0/2、
Ethernet1/0/3、Ethernet1/0/4 相連
交換機通過 Ethernet1/0/1 端口與外部網絡相連
小區使用者 PC2、PC3 和 PC4 之間不能互通
2. 組網圖
# 将以太網端口 Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4 加入隔離組。
System View: return to User View with Ctrl+Z.
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
[Quidway]
# 顯示隔離組中的端口資訊。
<Quidway> display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
三、MAC位址表的管理與設定
為了快速轉發封包,以太網交換機需要維護 MAC 位址轉發表。MAC 位址轉發表是
一張基于端口的二層轉發表,是以太網交換機實作二層封包快速轉發的基礎。MAC
位址轉發表的表項包括:
目的 MAC 位址
端口所屬的 VLAN ID
轉發端口号
以太網交換機通過查找 MAC 位址轉發表得到二層封包的轉發端口号,進而實作二
層封包的快速轉發。通過mac位址表項的管理與設定,可以實作通過交換機進行的一些安全操作。
MAC 位址轉發表中的動态表項(非手工配置)是由以太網交換機學習得來的。
靜态 MAC 位址表項:也稱為“永久位址”,由使用者手工添加和删除,不會随
着時間老化。對于一個裝置變動較小的網絡,手工添加靜态位址表項可以減少
網絡中的廣播流量。
MAC 位址轉發表管理典型配置舉例
1. 組網需求
使用者通過 Console 口登入到交換機,配置位址表管理。要求設定交換機上動态 MAC
位址表項的老化時間為 500 秒, VLAN1 中的 Ethernet 1/0/2 端口添加一個靜态地
在
址 00e0-fc35-dc71。
2. 組網圖
# 進入交換機系統視圖。
# 增加 MAC 位址(指出所屬 VLAN、端口、狀态)。
[Quidway] mac-address static 00e0-fc35-dc71 interface Ethernet 1/0/2 vlan 1
# 設定交換機上動态 MAC 位址表項的老化時間為 500 秒。
[Quidway] mac-address timer aging 500
# 在系統視圖下檢視 MAC 位址配置。
[Quidway] display mac-address interface Ethernet 1/0/2
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
00-e0-fc-35-dc-71 1 Static Ethernet1/0/2 NOAGED
00-e0-fc-17-a7-d6 1 Learned Ethernet1/0/2 AGING
00-e0-fc-5e-b1-fb 1 Learned Ethernet1/0/2 AGING
00-e0-fc-55-f1-16 1 Learned Ethernet1/0/2 AGING
--- 4 mac address(es) found on port Ethernet1/0/2 ---
四、802.1x的配置(dot1x)
IEEE802 LAN/WAN 委員會為解決無線區域網路網絡安全問題,提出了 802.1x 協定。
後來,802.1x 協定作為區域網路端口的一個普通接入控制機制用在以太網中,主要解
決以太網内認證和安全方面的問題。
802.1x 協定是一種基于端口的網絡接入控制(Port Based Network Access Control)
協定。“基于端口的網絡接入控制”是指在區域網路接入控制裝置的端口這一級對所
接入的裝置進行認證和控制。連接配接在端口上的使用者裝置如果能通過認證,就可以訪
問區域網路中的資源;如果不能通過認證,則無法通路區域網路中的資源——相當于連
接被實體斷開。
802.1x 提供了一個使用者身份認證的實作方案,為了實作此方案,除了配置 802.1x
相關指令外,還需要在交換機上配置 AAA 方案,選擇使用 RADIUS 或本地認證方
案,以配合 802.1x 完成使用者身份認證:
802.1x 使用者通過域名和交換機上配置的 ISP 域相關聯。
配置 ISP 域使用的 AAA 方案,包括本地認證方案和 RADIUS 方案。
如果采用 RADIUS 方案,通過遠端的 RADIUS 伺服器進行認證,則需要在
RADIUS 伺服器上配置相應的使用者名和密碼,然後在交換機上進行 RADIUS
用戶端的相關設定。
如果是需要本地認證,則需要在交換機上手動添加認證的使用者名和密碼,當用
戶使用和交換機中記錄相同的使用者名和密碼,啟動 802.1x 用戶端軟體進行認
證時,就可以通過認證。
也可以配置交換機先采用 RADIUS 方案,通過 RADIUS 伺服器進行認證,如
果 RADIUS 伺服器無效,則使用本地認證。
802.1x 典型配置舉例
1. 組網需求
要求在各端口上對使用者接入進行認證,以控制其通路 Internet;接入控制模式
要求是基于 MAC 位址的接入控制。
所有接入使用者都屬于一個預設的域:aabbcc.net,該域最多可容納 30 個使用者;
認證時,先進行 RADIUS 認證,如果 RADIUS 伺服器沒有響應再轉而進行本
地認證;計費時,如果 RADIUS 計費失敗則切斷使用者連接配接使其下線;此外,
接入時在使用者名後不添加域名,正常連接配接時如果使用者有超過 20 分鐘流量持續
小于 2000Bytes 的情況則切斷其連接配接。
由兩台 RADIUS 伺服器組成的伺服器組與交換機相連,其 IP 位址分别為
10.11.1.1 和 10.11.1.2,前者作為主認證/備份計費伺服器,後者作為備份認證
/主計費伺服器;設定系統與認證 RADIUS 伺服器互動封包時的加密密碼為
“name”、與計費 RADIUS 伺服器互動封包時的加密密碼“money”,設定
系統在向 RADIUS 伺服器發送封包後 5 秒種内如果沒有得到響應就向其重新
發送封包,重複發送封包的次數總共為 5 次,設定系統每 15 分鐘就向 RADIUS
伺服器發送一次實時計費封包, 訓示系統從使用者名中去除使用者域名後再将之傳
給 RADIUS 伺服器。
本地 802.1x 接入使用者的使用者名為 localuser,密碼為 localpass,使用明文輸入,
閑置切斷功能處于打開狀态。
# 開啟全局 802.1x 特性。
[Quidway] dot1x
# 開啟指定端口 Ethernet 1/0/1 的 802.1x 特性。
[Quidway] dot1x interface Ethernet 1/0/1
# 設定接入控制方式(該指令可以不配置,因為端口的接入控制在預設情況下就是
基于 MAC 位址的)。
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1
# 建立 RADIUS 方案 radius1 并進入其視圖。
[Quidway] radius scheme radius1
# 設定主認證/計費 RADIUS 伺服器的 IP 位址。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
# 設定備份認證/計費 RADIUS 伺服器的 IP 位址。
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
# 設定系統與認證 RADIUS 伺服器互動封包時的加密密碼。
[Quidway -radius-radius1] key authentication name
# 設定系統與計費 RADIUS 伺服器互動封包時的加密密碼。
[Quidway-radius-radius1] key accounting money
# 設定系統向 RADIUS 伺服器重發封包的時間間隔與次數。
[Quidway-radius-radius1] timer 5
[Quidway-radius-radius1] retry 5
# 設定系統向 RADIUS 伺服器發送實時計費封包的時間間隔。
[Quidway-radius-radius1] timer realtime-accounting 15
# 訓示系統從使用者名中去除使用者域名後再将之傳給 RADIUS 伺服器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 建立域 aabbcc.net 并進入其視圖。
[Quidway] domain default enable aabbcc.net
# 指定 radius1 為該域使用者的 RADIUS 方案,若 RADIUS 伺服器無效,則使用本地
認證方案。
[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local
# 設定該域最多可容納 30 個使用者。
[Quidway-isp-aabbcc.net] access-limit enable 30
# 啟動閑置切斷功能并設定相關參數。
[Quidway-isp-aabbcc.net] idle-cut enable 20 2000
[Quidway-isp-aabbcc.net] quit
# 配置域 aabbcc.net 為預設使用者域。
# 添加本地接入使用者。
[Quidway] local-user localuser
[Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass
四、 system-guard
system-guard 按照設定的攻擊檢測時間間隔定期進行檢查,在檢查期間,如果開啟
了防攻擊功能的端口上 CPU 的封包數量超過設定的門檻值,将被認為是攻擊端口,交
換機将對該端口進行限速。超過對攻擊端口的控制時間後,會取消端口的限速,在
下一個防攻擊檢測時間,重新檢查在此期間防攻擊端口上 CPU 的封包數量。
system-guard 典型配置舉例
1. 組網需求
S2000-HI-2、S2000-HI-3、S2000-HI-4 下直接下挂業務使用者,上行鍊路均連接配接到
S2000-HI-1。
2. 組網圖
# 配置 S2000-HI-2 軟體防護
<S2000-HI-2> system-view
[S2000-HI-2] system-guard enable
[S2000-HI-2] system-guard mode rate-limit 5 256 300
[S2000-HI-2] system-guard permit Ethernet 1/0/1 to Ethernet 1/0/3
# 配置 S2000-HI-3 軟體防護
<S2000-HI-3> system-view
[S2000-HI-3] system-guard enable
[S2000-HI-3] system-guard mode rate-limit 5 256 300
[S2000-HI-3] system-guard permit Ethernet 1/0/1 to Ethernet 1/0/3
# 配置 S2000-HI-4 軟體防護
<S2000-HI-4> system-view
[S2000-HI-4] system-guard enable
[S2000-HI-4] system-guard mode rate-limit 5 256 300
[S2000-HI-4] system-guard permit Ethernet 1/0/1
# 配置 S2000-HI-1 軟體防護
<S2000-HI-1> system-view
[S2000-HI-1] system-guard enable
[S2000-HI-1] system-guard mode rate-limit 2 256 60
[S2000-HI-1] system-guard permit Ethernet 1/0/1 to Ethernet 1/0/3
五、AAA 及 RADIUS 協定
AAA 是 Authentication,Authorization and Accounting(認證、授權和計費)的簡
稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實
際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
哪些使用者可以通路網絡伺服器。
具有通路權的使用者可以得到哪些服務。
如何對正在使用網絡資源的使用者進行計費。
針對以上問題,AAA 必須提供認證功能、授權功能和計費功能。
1. 認證功能
AAA 支援以下認證方式:
不認證:對使用者非常信任,不對其進行合法檢查。一般情況下不采用這種方式。
本地認證:将使用者資訊(包括本地使用者的使用者名、密碼和各種屬性)配置在設
備上。本地認證的優點是速度快,可以降低營運成本;缺點是存儲資訊量受設
備硬體條件限制。
遠端認證:支援通過 RADIUS 協定或 HWTACACS 協定進行遠端認證,裝置
(如 Quidway 系列交換機)作為用戶端,與 RADIUS 伺服器或 TACACS 服務
器通信。對于 RADIUS 協定,可以采用标準或擴充的 RADIUS 協定。
2. 授權功能
AAA 支援以下授權方式:
直接授權:對使用者非常信任,直接授權通過。
本地授權:根據裝置上為本地使用者帳号配置的相關屬性進行授權。
RADIUS 認證成功後授權:RADIUS 協定的認證和授權是綁定在一起的,不能
單獨使用 RADIUS 進行授權。
HWTACACS 授權:由 TACACS 伺服器對使用者進行授權。
3. 計費功能
AAA 支援以下計費方式:
不計費:不對使用者計費。
遠端計費:支援通過 RADIUS 伺服器或 TACACS 伺服器進行遠端計費。
AAA 一般采用用戶端/伺服器結構:用戶端運作于被管理的資源側,伺服器上集中存
放使用者資訊。是以,AAA 架構具有良好的可擴充性,并且容易實作使用者資訊的集中
管理。
AAA 是一種管理架構,是以,它可以用多種協定來實作。在實踐中,人們最常使用
RADIUS 協定來實作 AAA。
RADIUS(Remote Authentication Dial-In User Service,遠端認證撥号使用者服務)
是一種分布式的、用戶端/伺服器結構的資訊互動協定,能保護網絡不受未授權通路
的幹擾,常被應用在既要求較高安全性,又要求維持遠端使用者通路的各種網絡環境
中。
RADIUS 服務包括三個組成部分:
協定:RFC 2865 和 RFC 2866 基于 UDP/IP 層定義了 RADIUS 幀格式及其消
息傳輸機制,并定義了 1812 作為認證端口,1813 作為計費端口。
伺服器:RADIUS 伺服器運作在中心計算機或工作站上,包含了相關的使用者認
證和網絡服務通路資訊。
用戶端:位于撥号通路伺服器裝置側,可以遍布整個網絡。
RADIUS 基于用戶端/伺服器模型。交換機作為 RADIUS 用戶端,負責傳輸使用者資訊
到指定的 RADIUS 伺服器,然後根據從伺服器傳回的資訊對使用者進行相應處理(如
接入/挂斷使用者)。RADIUS 伺服器負責接收使用者連接配接請求,認證使用者,然後給交換
機傳回所有需要的資訊。
RADIUS伺服器通常要維護三個資料庫
第一個資料庫“Users”用于存儲使用者資訊(如使用者名、密碼以及使用的協定、
IP 位址等配置)。
第二個資料庫“Clients”用于存儲 RADIUS 用戶端的資訊(如共享密鑰)。
第三個資料庫“Dictionary”存儲的資訊用于解釋 RADIUS 協定中的屬性和屬
性值的含義。
AAA&RADIUS 協定典型配置舉例
1. 組網需求
在圖示的環境中,需要通過配置交換機實作RADIUS伺服器對登入交換機的
Telnet使用者進行認證。
一台 RADIUS 伺服器(擔當認證 RADIUS 伺服器的職責)與交換機相連,服
務器 IP 位址為 10.110.91.164;
設定交換機與認證 RADIUS 伺服器互動封包時的共享密鑰為“expert”。
RADIUS 伺服器可使用 CAMS 伺服器。 使用第三方 RADIUS 伺服器時,RADIUS 方
案中的 server-type 可以選擇 standard 類型或 huawei 類型。
在 RADIUS 伺服器上設定與交換機互動封包時的共享密鑰為“expert”;
設定驗證的端口号;
添加 Telnet 使用者名及登入密碼。
如果 RADIUS 方案中設定交換機不從使用者名中去除使用者域名而是一起傳給 RADIUS
伺服器,RADIUS 伺服器上添加的 Telnet 使用者名應為“userid@isp-name”形式。
# 配置 Telnet 使用者采用 AAA 認證方式。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置 domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置 RADIUS 方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置 domain 和 RADIUS 的關聯。
[Quidway-isp-cams] scheme radius-scheme cams
Telnet 使用者登入時輸入使用者名 userid @cams,以使用 cams 域進行認證。
六、集中式 MAC 位址認證
集中式 MAC 位址認證是一種基于端口和 MAC 位址對使用者通路網絡的權限進行控制的認證方法,它不需要使用者安裝任何用戶端軟體,交換機在首次檢測到使用者的 MAC
位址以後,即啟動對該使用者的認證操作。
集中式 MAC 位址認證有兩種方式:
MAC 位址方式:使用使用者的 MAC 位址作為認證時的使用者名和密碼。
固定方式:使用在交換機上預先配置使用者名和密碼進行認證。此時,要求所有
使用者都和交換機上配置的使用者名和密碼一一對應。
S2000-HI 系列以太網交換機支援通過 RADIUS 伺服器或通過本地進行集中式 MAC
位址認證。
集中式 MAC 位址認證配置舉例
集中式 MAC 位址認證的配置與 802.1x 類似,在本例中,二者的差別是:
在端口和全局下使能集中式 MAC 位址認證;
對于 MAC 位址方式,本地認證的使用者名和密碼需要配置為該使用者的 MAC 位址;
對于 MAC 位址方式,RADIUS 伺服器上的使用者名和密碼需要配置為該使用者的
MAC 位址。
# 開啟指定端口 Ethernet 1/0/2 的集中式 MAC 位址認證特性。
[Quidway] mac-authentication interface Ethernet 1/0/2
# 配置集中式 MAC 位址認證的方式為 MAC 位址方式,并指定使用帶有分隔符的
MAC 位址作為驗證的使用者名和密碼。
[Quidway] mac-authentication authmode usernameasmacaddress userformat
with-hyphen
配置本地使用者的使用者名和密碼。
[Quidway] local-user 00-e0-fc-01-01-01
[Quidway-luser-00-e0-fc-01-01-01] password simple 00-e0-fc-01-01-01
設定本地使用者服務類型為 lan-access。
[Quidway-luser-00-e0-fc-01-01-01] service-type lan-access
# 開啟全局集中式 MAC 位址認證特性。
[Quidway-luser-00-e0-fc-01-01-01] quit
[Quidway] mac-authentication
# 配置 MAC 位址認證使用者所使用的域名為 aabbcc163.net。
[Quidway] mac-authentication domain aabbcc163.net
七、ACL的應用
ACL(Access Control List,通路控制清單)主要用來實作流識别功能。網絡裝置為
了過濾資料包,需要配置一系列的比對規則,以識别需要過濾的封包。在識别出特
定的封包之後,才能根據預先設定的政策允許或禁止相應的資料包通過。
ACL 通過一系列的比對條件對資料包進行分類,這些條件可以是資料包的源位址、
目的位址、端口号等。
由 ACL 定義的資料包比對規則,可以被其它需要對流量進行區分的功能引用,如
QoS 中流分類規則的定義。
根據應用目的,可将 ACL 分為下面幾種:
基本 ACL:隻根據三層源 IP 位址制定規則。
進階 ACL:根據資料包的源 IP 位址資訊、目的 IP 位址資訊、IP 承載的協定類
型、協定特性等三、四層資訊制定規則。
二層 ACL:根據源 MAC 位址、目的 MAC 位址、VLAN 優先級、二層協定類
型等二層資訊制定規則。
ACL 在交換機上的應用方式
1. ACL 直接下發到硬體中的情況
交換機中 ACL 可以直接下發到交換機的硬體中用于資料轉發過程中封包的過濾和
流分類。此時一條 ACL 中多個規則的比對順序是由交換機的硬體決定的,使用者即使
在定義 ACL 時配置了比對順序,該比對順序也不起作用。
ACL 直接下發到硬體的情況包括:交換機實作 QoS 功能時引用 ACL、通過 ACL 過
濾轉發資料等。
2. ACL 被上層子產品引用的情況
交換機也使用 ACL 來對由軟體處理的封包進行過濾和流分類。此時 ACL 規則的匹
配順序有兩種:config(指定比對該規則時按使用者的配置順序)和 auto(指定比對
該規則時系統自動排序,即按“深度優先”的順序)。這種情況下使用者可以在定義
ACL 的時候指定一條 ACL 中多個規則的比對順序。使用者一旦指定某一條 ACL 的匹
配順序,就不能再更改該順序。隻有把該清單中所有的規則全部删除後,才能重新
指定其比對順序。
ACL 被軟體引用的情況包括:對登入使用者進行控制時引用 ACL 等。
基本 ACL配置舉例
# 配置 ACL 2000,禁止源位址為 1.1.1.1 的封包通過。
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule deny source 1.1.1.1 0
[Quidway-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0
進階 ACL配置舉例
# 配置 ACL 3000,允許從 129.9.0.0 網段的主機向 202.38.160.0 網段的主機發送的
端口号為 80 的封包通過。
<Quidway>system-view
[Quidway] acl number 3000
[Quidway-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255
destination 202.38.160.0 0.0.0.255 destination-port eq 80
[Quidway-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0
0.0.0.255 destination-port eq www
八、Ipsec
IPSec 是一系列網絡安全協定的總稱,它是由 IETF(Internet Engineering Task
Force,Internet 工程任務組)開發的,可為通訊雙方提供通路控制、無連接配接的完整
性、資料來源認證、反重放、加密以及對資料流分類加密等服務。
IPSec 是網絡層的安全機制。通過對網絡層包資訊的保護,上層應用程式即使沒有
實作安全性,也能夠自動從網絡層提供的安全性中獲益。這打消了人們對 ×××
(Virtual Private Network,虛拟專用網絡)安全性的顧慮,使得 ××× 得以廣泛應
用。
IPSec 的配置包括:
建立加密通路控制清單
定義安全提議
選擇加密算法與認證算法
建立安全政策
在接口上應用安全政策組
加密卡實作 IPSec 的配置包括:
配置加密卡
使能 VRP 主體軟體備份
IPSec 典型配置舉例
采用手工方式建立安全聯盟
1. 配置需求
在路由器 A 和路由器 B 之間建立一個安全隧道對 PC A 代表的子網(10.1.1.x)與
PC B 代表的子網(10.1.2.x)之間的資料流進行安全保護。安全協定采用 ESP 協定,
加密算法采用 DES,認證算法采用 sha1-hmac-96。
首先確定 RouterA 和 RouterB 能通過序列槽在網絡層互通。
路由器 A 的配置:
(1)
# 配置一個通路控制清單,定義由子網 10.1.1.x 去子網 10.1.2.x 的資料流。
[Router] acl 3001
[Router-acl-3001] rule permit ip source 10.1.1.0 0.0.0.255 destinatio
10.1.2.0 0.0.0.255
[Router-acl-3001] rule deny ip source any destination any
# 建立名為 tran1 的安全提議。
[Router] ipsec proposal tran1
# 封包封裝形式采用隧道模式。
[Router-ipsec-proposal-tran1] encapsulation-mode tunnel
# 安全協定采用 ESP 協定。
[Router-ipsec-proposal-tran1] transform esp-new
# 選擇認證算法和加密算法。
[Router-ipsec-proposal-tran1] esp-new encryption-algorithm des
[Router-ipsec-proposal-tran1] esp-new authentication-algorithm sha1-hmac-96
# 建立一條安全政策,協商方式為手工方式。
[Router] ipsec policy policy1 10 manual
# 引用通路清單。
[Router-ipsec-policy-policy1-10] security acl 3001
# 引用安全提議。
[Router-ipsec-policy-policy1-10] proposal tran1
# 設定本端與對端位址。
[Router-ipsec-policy-policy1-10] tunnel local 202.38.163.1
[Router-ipsec-policy-policy1-10] tunnel remote 202.38.162.1
# 設定 SPI。
[Router-ipsec-policy-policy1-10] sa outbound esp spi 12345
[Router-ipsec-policy-policy1-10] sa inbound esp spi 54321
# 設定密鑰。
[Router-ipsec-policy-policy1-10] sa outbound esp string-key abcdefg
[Router-ipsec-policy-policy1-10] sa inbound esp string-key gfedcba
# 在序列槽上應用安全政策組。
[Router] interface serial 0
[Router-Serial0] ipsec policy policy1
[Router-Serial0] ip address 202.38.163.1 255.255.255.0
# 配置路由。
[Router] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1
路由器 B 的配置:
(2)
# 配置一個通路清單,定義由子網 10.1.2.x 去子網 10.1.1.x 的資料流。
[Router-acl-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[Router] ipsec policy use1 10 manual
[Router-ipsec-policy-use1-10] security acl 3001
[Router-ipsec-policy-use1-10] proposal tran1
[Router-ipsec-policy-use1-10] tunnel local 202.38.162.1
[Router-ipsec-policy-use1-10] tunnel remote 202.38.163.1
[Router-ipsec-policy-use1-10] sa outbound esp spi 54321
[Router-ipsec-policy-use1-10] sa inbound esp spi 12345
[Router-ipsec-policy-use1-10] sa outbound esp string-key gfedcba
[Router-ipsec-policy-use1-10] sa inbound esp string-key abcdefg
# 進入序列槽視圖。
# 在序列槽上應用安全政策組
[Router-Serial0] ipsec policy use1
[Router-Serial0] ip address 202.38.162.1 255.255.255.0
[Router] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1
以上配置完成後,路由器 A 和路由器 B 之間的安全隧道就建立好了,子網 10.1.1.x
與子網 10.1.2.x 之間的資料流将被加密傳輸。
采用 IKE 協商方式建立安全聯盟
在路由器 A 和路由器 B 之間建立一個安全隧道,對 PC A 代表的子網(10.1.1.x)與
PC B 代表的子網 (10.1.2.x)之間的資料流進行安全保護。安全協定采用 ESP 協定,
同上例。
# 配置一個通路清單,定義由子網 10.1.1.x 去子網 10.1.2.x 的資料流。
[Router-acl-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination
# 建立一條安全政策,協商方式為 isakmp。
[Router] ipsec policy policy1 10 isakmp
# 設定對端位址。
# 配置序列槽 Serial0。
# 相應的 IKE 配置。
[Router] ike pre-shared-key abcde remote 202.38.162.1
[Router] ipsec policy use1 10 isakmp
[Router-ipsec-policy-policy1-10] tunnel remote 202.38.163.1
[Router] ike pre-shared-key abcde remote 202.38.163.1
以上配置完成後,路由器 A 和路由器 B 之間若有子網 10.1.1.x 與子網 10.1.2.x 之間
的封包通過,将觸發 IKE 進行協商建立安全聯盟。IKE 協商成功并建立了安全聯盟
後,子網 10.1.1.x 與子網 10.1.2.x 之間的資料流将被加密傳輸。
九、IKE
IKE(Internet Key Exchange,網際網路密鑰交換協定)是基于 ISAKMP(Internet
Security Association Key Management Protocl)架構結構而建立的,它為 IPSec
提供了自動協商交換密鑰、建立安全聯盟的服務,簡化了 IPSec 的使用和管理。
如上章所述,IPSec SA 能夠手工建立,但是随着節點數目的日益增加,手工配置過
程将非常煩瑣并易于出錯。IKE 的應用将解決該問題。
IKE 具有一套自保護機制,可以在不安全的網絡上安全的分發密鑰、認證身份并建
立 IPSec 安全聯盟。
建立安全聯盟的雙方在建立好安全聯盟後。如果對方失效(例如關機)而不能正常
工作時,本地将無法知道。當對方重新開機後,由于本地存在安全聯盟,無法發起
協商,隻能由對方發起協商,或等到逾時後協商。是以 IKE 中 Keepalive 功能将在
對方失效而不能工作時檢測并删除無用的安全聯盟。
IKE 使用兩個階段的 ISAKMP:
第一階段:協商建立一個通信信道,并對該信道進行認證,為雙方進一步的 IKE
通信提供機密性、消息完整性以及消息源認證服務。
第二階段,使用已建立的 IKE SA 建立 IPSec SA。
從下圖我們可以看出 IKE 和 IPSec 之間的關系。
IKE 典型配置舉例
主機 A 與 B 之間進行安全通信,在路由器 RouterA 與 RouterB 之間使用 IKE
自動協商建立安全通道。
在 RouterA 上配置一條 IKE 政策,其中政策 10 優先級最高,預設的 IKE 政策
優先級最低。
認證算法采用 pre-shared-key 方法。
路由器 RouterA 上的配置:
# 配置一條 IKE 政策 10。
[RouterA] ike proposal 10
# 指定 IKE 政策使用的雜湊演算法為 MD5。
[RouterA-ike-proposal-10] authentication-algorithm md5
# 使用 pre-shared-key 認證方法。
[RouterA-ike-proposal-10] authentication-method pre-share
# 配置對端 171.69.224.33 的認證字為 “abcde”。
[RouterA] ike pre-share-key abcde remote 171.69.224.33
# 設定 IKE SA 存活時間為 5000 秒。
[RouterA-ike-proposal-10] sa duration 5000
路由器 Router B 上的配置:
# 在網關 B 上使用預設的 IKE 政策,并配置對端的認證字。
[RouterB] ike pre-share-key abcde remote 202.38.160.1
以上是對 IKE 協商的配置,若希望建立 IPSec 安全通道進行安全通信,還需要進行
IPSec 的相應配置。
十、Am
端口+MAC
華為交換機H3C端口AM指令
使用特殊的AM User-bind指令,來完成MAC位址與端口之間的綁定。
例如:[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置說明:由于使用了端口參數,則會以端口為參照物,即此時端口E0/1隻允許PC1上網,而使用其他未綁定的MAC位址的PC機則無法上網。但是PC1使用該MAC位址可以在其他端口上網。
mac-address指令使用mac-address static指令,來完成MAC位址與端口之間的綁定。
例如:[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1[SwitchA]mac-address max-mac-count 0
配置說明:由于使用了端口學習功能,故靜态綁定mac後,需再設定該端口mac學習數為0,使其他PC接入此端口後其mac位址無法被學習。
IP+MAC
使用特殊的AM User-bind指令,來完成IP位址與MAC位址之間的綁定。
例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3配置說明:以上配置完成對PC機的IP位址和MAC位址的全局綁定。即與綁定的IP位址或者MAC位址不同的PC機,在任何端口都無法上網。支援型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G
華為交換機H3C端口arp指令
使用特殊的arp static指令,來完成IP位址與MAC位址之間的綁定。
例如:[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP位址和MAC位址的全局綁定。
端口+IP+MAC
使用特殊的AM User-bind指令,來完成IP、MAC位址與端口之間的綁定。
例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。
配置說明:可以完成将PC1的IP位址、MAC位址與端口E0/1之間的綁定功能。由于使用了端口參數,則會以端口為參照物,即此時端口E0/1隻允許PC1上網,而使用其他未綁定的IP位址、MAC位址的PC機則無法上網。但是PC1使用該IP位址和MAC位址可以在其他端口上網。