华为网络设备上常用的安全技术:
概述:
ACL AM MAC ARP AAA Dot1x
文章目录:
安全技术1:ACL(访问控制列表)
安全技术2:AM(访问管理配置)
安全技术3:MAC绑定
安全技术4:ARP绑定
安全技术5:AAA
安全技术6:802.1x
安全技术1:ACL
说明:ACL(Access Control List,访问控制列表)
ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
基本 ACL:只根据数据包的源IP 地址制定规则。
高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。
二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。
用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。(华为设备默认允许)
Ø 100~199:表示WLAN ACL;
Ø 2000~2999:表示IPv4 基本ACL;
Ø 3000~3999:表示IPv4 高级ACL;
Ø 4000~4999:表示二层ACL;
Ø 5000~5999:表示用户自定义ACL。
Ø 创建时间段:time-range
案例1-1:标准ACL实验
1. 组网需求
禁止192.168.1.100/24通过telnet访问192.168.1.1/24,其它主机不受限制
2. 组网图
3. 配置步骤
int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0
quit
acl number 2000
rule 10 deny source 192.168.1.100 0
quit
应用acl之前测试:192.168.1.100可以通过telnet访问192.168.1.1
应用acl:
user-interface vty 0 4
acl 2000 inbound
quit
应用acl之后测试:192.168.1.100不可以通过telnet访问192.168.1.1
192.168.1.100修改IP地址之后在尝试登录,可成功登录
案例1-2:高级ACL实验
1. 组网需求
禁止192.168.10.100/24与192.168.1.200/24之间ping测试,其它主机不受限制,其它服务不受限制。
2. 组网图
3. 配置步骤
#在交换机上进行如下配置:
int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0
quit
vlan 10
port Ethernet 0/1
quit
int Vlan-interface 10
ip add 192.168.10.1 255.255.255.0
quit
#192.168.10.100pc去ping测试192.168.1.200pc
#192.168.1.200pc去ping测试192.168.10.100pc
#配置ACL 3000
acl number 3000
rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0
quit
#应用ACL
packet-filter ip-group 3000 rule 10
#查看ACL信息
[S10]dis acl config all
Advanced ACL 3000, 1 rule,
rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)
[S10]dis acl running-packet-filter all
Acl 3000 rule 10 运行
#客户端进行测试:zhujunjie-pc的ip地址为192.168.10.100,zhuchaobo-pc的ip地址为192.168.1.200
案例1-3:二层ACL实验二层访问控制列表
二层访问控制列表根据源MAC 地址、源VLAN ID、二层协议类型、报文二层
接收端口、报文二层转发端口、目的MAC 地址等二层信息制定规则,对数据
进行相应处理。
1. 组网需求
使用二层ACL,禁止192.168.100.100与192.168.100.200通信
2. 组网图
注:zhujunjie-pc的192.168.100.100和MAC地址为:88ae-1dd6-489d