華為網絡裝置中常用的安全機制有ACL,AM,ARP綁定,基于MAC的驗證,dot1x以及AAA等。
ACL(Access Control List)通路控制清單:
是路由器和交換機接口的指令清單,用來控制端口進出的資料包。ACL适用于所有的被路由協定,如IP、IPX、AppleTalk等。這張表中包含了比對關系、條件和查詢語句,表隻是一個架構結構,其目的是為了對某種通路進行控制。
分類:
目前有兩種主要的ACL:标準ACL和擴充ACL。其他的還有标準MAC ACL、時間控制ACL、以太協定 ACL 、IPv6 ACL等。
1.标準的
-檢驗源位址
-一般允許或禁止整個協定棧
2.擴充的
-檢查源和目的位址
-通常允許或者禁止某個具體的協定
注:通路控制清單要綁定到路由器的接口的輸入或輸出方向上
工作原理:
通過分析IP資料包標頭資訊,進行判斷(這裡IP所承受的上層協定為TCP)可以過濾IP,IPX,二層。
ACL 原則
每種協定一個 ACL 要控制接口上的流量,必須為接口上啟用的每種協定定義相應的 ACL。 每個方向一個 ACL 一個 ACL 隻能控制接口上一個方向的流量。要控制入站流量和出站流量,必須分别定義兩個 ACL。每個接口一個 ACL 一個 ACL 隻能控制一個接口(例如快速以太網 0/0)上的流量。
路由器ACL(華為預設允許所有通過)
1000-1999 預留
2000-2999 标準通路清單規則
3000-3999 擴充通路清單規則
4000-4099 MAC位址通路清單
4100-4199 以太幀協定類型通路清單
入站通路控制清單:先比對通路控制清單,後比對路由表
出站通路控制清單:先比對路由表,後比對通路控制清單
時間通路控制清單
案例:設定時間通路控制,08:00-12:00和14:00-18:00允許通路,
#timerange enable
#settr 08:00 12:00 14:00 18:00 設定時間範圍
#acl 2000
#rule special permit source 192.168.2.0 0.0.0.255
注:special 指定本規則加入到時間段規則中
#dis clock 檢視系統時間
#clock 09:18:00 31 03 2012 設定系統時間
交換機ACL
華為比對規則:配置優先,深度優先 (預設配置優先)
2000-2999 标準通路清單規則
3000-3999 擴充通路清單規則
#acl number 2000(match-order config//配置優先auto//深度優先)
#rule permit source any
#rule deny source 192.168.2.100 0
#display acl all 檢視通路控制清單
AM access manager 通路管理
功能:1.端口和IP的綁定2.端口隔離
1.端口和IP的綁定 port---ip
#vlan 2
#port e0/2
#vlan 3
#port e0/3
#inter vlan-interface 2
#ip add 192.168.2.254 255.255.255.0
#interface e0/3
#ip add 192.168.3.254 255.255.255.0
#am ip-pool 192.168.2.43
2.端口隔離 (不是所有的交換機都支援)
#am enable
#interface e0/2
#am isolate e0/3
ARP綁定
為了更好的對網絡中的計算機進行管理,您可以通過ARP綁定功能來控制網絡中計算機間的通路(IP綁定)。
MAC位址: 網絡中被控制的計算機的MAC位址。
IP位址: 設定被控制計算機MAC位址的主機的IP位址。
綁定: 是否使能改MAC和IP的綁定比對
編輯: 可以對條目進行修改或者直接删除
#arp static 192.168.101.1 MAC位址
AAA(Authentication,Authorization and Accounting)
AAA是Authentication,Authorization and Accounting(認證、授權和計費)的簡
稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實
際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
哪些使用者可以通路網絡伺服器。
具有通路權的使用者可以得到哪些服務。
如何對正在使用網絡資源的使用者進行計費。
針對以上問題,AAA必須提供認證功能、授權功能和計費功能。