鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网络程序脚本 > 其它 > >

华为网络设备上常用的安全技术

来源:互联网 作者:佚名 时间:2013-08-20 07:36
华为网络设备上常用的安全技术:概述:ACLAMMAC&nb..

 华为网络设备上常用的安全技术:

概述:

ACL           AM           MAC        ARP        AAA     Dot1x

文章目录:

安全技术1:ACL(访问控制列表)

安全技术2:AM(访问管理配置)

安全技术3:MAC绑定

安全技术4:ARP绑定

安全技术5:AAA

安全技术6:802.1x

安全技术1:ACL

说明:ACL(Access Control List,访问控制列表)

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

基本 ACL:只根据数据包的源IP 地址制定规则。

高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。

二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。

用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。(华为设备默认允许)

Ø 100~199:表示WLAN ACL;

Ø 2000~2999:表示IPv4 基本ACL;

Ø 3000~3999:表示IPv4 高级ACL;

Ø 4000~4999:表示二层ACL;

Ø 5000~5999:表示用户自定义ACL。

Ø 创建时间段:time-range

案例1-1:标准ACL实验

1. 组网需求

禁止192.168.1.100/24通过telnet访问192.168.1.1/24,其它主机不受限制

2. 组网图

3. 配置步骤

int Vlan-interface 1

ip add 192.168.1.1 255.255.255.0

quit

acl number 2000

rule 10 deny source 192.168.1.100 0

quit

应用acl之前测试:192.168.1.100可以通过telnet访问192.168.1.1

 应用acl

 user-interface vty 0 4

acl 2000 inbound

quit

应用acl之后测试:192.168.1.100不可以通过telnet访问192.168.1.1

192.168.1.100修改IP地址之后在尝试登录,可成功登录

案例1-2:高级ACL实验

1. 组网需求

禁止192.168.10.100/24与192.168.1.200/24之间ping测试,其它主机不受限制,其它服务不受限制。

2. 组网图

3. 配置步骤

#在交换机上进行如下配置:

int Vlan-interface 1

ip add 192.168.1.1 255.255.255.0

quit

vlan 10

port Ethernet 0/1

quit

int Vlan-interface 10

ip add 192.168.10.1 255.255.255.0

quit

#192.168.10.100pcping测试192.168.1.200pc

#192.168.1.200pcping测试192.168.10.100pc

#配置ACL 3000

acl number 3000

rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0

quit

#应用ACL

packet-filter ip-group 3000 rule 10

#查看ACL信息

[S10]dis acl config all

Advanced ACL 3000, 1 rule,

 rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)

[S10]dis acl running-packet-filter all

 Acl 3000 rule 10 运行

#客户端进行测试:zhujunjie-pc的ip地址为192.168.10.100,zhuchaobo-pc的ip地址为192.168.1.200

案例1-3:二层ACL实验二层访问控制列表

二层访问控制列表根据源MAC 地址、源VLAN ID、二层协议类型、报文二层

接收端口、报文二层转发端口、目的MAC 地址等二层信息制定规则,对数据

进行相应处理。

1. 组网需求

使用二层ACL,禁止192.168.100.100与192.168.100.200通信

2. 组网图

注:zhujunjie-pc192.168.100.100MAC地址为:88ae-1dd6-489d

网友评论
<