华为网络设备上的常用安全技术(一)
安全技術1:ACL
說明:ACL (Access Control List,訪問控制列表)主要用來實現流識別功能。網絡設備為過濾數據包,需要配置一系列的匹配規則,以識別需要過濾的報文。在識別出特定的報文之后,才能根據預先設定的策略允許或禁止相應的數據包通過。 ACL 通過一系列的匹配條件對數據包進行分類,這些條件可以是數據包的源地址、目的地址、端口號等。 由ACL 定義的數據包匹配規則,可以被其它需要對流量進行區分的功能引用,如QoS 中流分類規則的定義。 根據應用目的,可將ACL 分為下面幾種:?
?基本ACL :只根據三層源IP 地址制定規則。
高級ACL :根據數據包的源 IP 地址信息、目的 IP 地址信息、IP 承載的協議類型、協議特性等三、四層信息制定規則。 二層ACL :根據源MAC地址、目的MAC地址、VLAN 優先級、二層協議類型等二層信息制定規則。
ACL 在交換機上的應用方式 1. ACL直接下發到硬件中的情況 交換機中ACL 可以直接下發到交換機的硬件中用于數據轉發過程中報文的過濾和流分類。此時一條 ACL 中多個規則的匹配順序是由交換機的硬件決定的,用戶即使在定義ACL 時配置了匹配順序,該匹配順序也不起作用。 ACL 直接下發到硬件的情況包括:交換機實現 QoS 功能時引用ACL 、通過 ACL 過濾轉發數據等。
2. ACL被上層模塊引用的情況
交換機也使用ACL 來對由軟件處理的報文進行過濾和流分類。此時ACL 規則的匹
配順序有兩種:config(指定匹配該規則時按用戶的配置順序)和 auto(指定匹配
該規則時系統自動排序,即按“深度優先”的順序)。這種情況下用戶可以在定義
ACL 的時候指定一條ACL 中多個規則的匹配順序。用戶一旦指定某一條ACL 的匹
配順序,就不能再更改該順序。只有把該列表中所有的規則全部刪除后,才能重新
指定其匹配順序。
ACL 被軟件引用的情況包括:對登錄用戶進行控制時引用ACL 等。
ACL 匹配順序
ACL 可能會包含多個規則,而每個規則都指定不同的報文范圍。這樣,在匹配報文
時就會出現匹配順序的問題。
ACL 支持兩種匹配順序:
?? 配置順序:根據配置順序匹配ACL 規則。
?? 自動排序:根據“深度優先”規則匹配ACL 規則。
“深度優先”規則說明如下:
IP ACL(基本和高級 ACL )的深度優先以源IP 地址掩碼和目的 IP 地址掩碼長度排
序,掩碼越長的規則位置越靠前。排序時先比較源IP 地址掩碼長度,若源 IP 地址
掩碼長度相等,則比較目的IP 地址掩碼長度。例如,源IP 地址掩碼為 255.255.255.0
的規則比源IP 地址掩碼為 255.255.0.0的規則匹配位置靠前。
案例:
擴展acl運用拓撲圖:實現vlan10 20 30 不能互訪,但是可以訪問40vlan。
?
路由器配置:
? acl 3000 match-order auto
??? rule normal permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
??? rule normal permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
??? rule normal permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal deny ip source any destination any
?
??interface Ethernet1.1
??? vlan-type dot1q vid 10
??? ip address 192.168.10.1 255.255.255.0
??? firewall packet-filter 3000 inbound
? interface Ethernet1.2
??? vlan-type dot1q vid 20
??? ip address 192.168.20.1 255.255.255.0
??? firewall packet-filter 3000 inbound
? interface Ethernet1.3
??? vlan-type dot1q vid 30
??? ip address 192.168.30.1 255.255.255.0
??? firewall packet-filter 3000 inbound
? interface Ethernet1.4
??? vlan-type dot1q vid 40
??? ip address 192.168.40.1 255.255.255.0
??? firewall packet-filter 3000 inbound
?
交換機配置
?
vlan 10
name vlan10
vlan 20
name TEC
vlan 30
vlan 40
name SERVER
?????????????????????????????????????
interface Ethernet0/2
port access vlan 10
interface Ethernet0/4
port access vlan 20
port access vlan 30
interface Ethernet0/8
port access vlan 40
interface Ethernet0/24
port link-type trunk
port trunk permit vlan all
?dot1x
?
測試結果:
Vlan10 訪問20:
?
Vlan10 訪問40:?
定義基于時間的acl
該實驗實現不在該時間范圍內的主機可以一直訪問internet,10.2網段的主機可以訪問30.2的主機,20.0網段不可以訪問。
?
port? access? vlan? 30
測試:
10.2的主機可以訪問30.2的主機:
20.2的主機無法訪問30.2的主機:
安全技術2:am
說明:
訪問管理簡介用戶通過以太網交換機接入外部網絡是一種典型的以太網接入組網方案――外部網
絡與以太網交換機相連 以太網交換機與 HUB相連 HUB匯集數量不等的 PC 組
當以太網交換機接入的用戶數量不多時 從成本方面考慮 分配給不同企業的端口
要求屬于同一個 VLAN 同時為每個企業分配固定的 IP 地址范圍 只有 IP 地址
在該地址范圍內的用戶才能通過該端口接入外部網絡 另外出于安全的考慮 不
同企業之間不能互通 利用以太網交換機提供的訪問管理功能 端口和 IP 地址的綁
定端口間的二層隔離可以實現這些需求下面將結合圖9-1用一個實例來具體
說明
機構1 和機構 2 同處一個 VLAN 通過同一臺以太網交換機與外部網絡相連 分配
給機構 1 的IP 地址范圍為 202.10.20.1 202.10.20.20 只有IP 地址在該地址范圍
內的PC才能通過端口 1 接入外部網絡 也就是將端口 1 和IP 地址 202.10.20.1
202.10.20.20 進行了綁定 同樣 分配給機構 2 的IP 地址范圍為 202.10.20.21
202.10.20.50 只有IP 地址在該范圍內的 PC才能通過端口 2 接入外部網絡 也就
是將端口 2 和IP 地址 202.10.20.21 202.10.20.50 進行了綁定?
由于兩個機構的網絡設備處在同一個 VLAN 中如果不采用有效的隔離措施 機構
1 內的PC將有可能和機構 2 中的 PC實現互通 通過在以太網交換機的端口上配置
二層隔離功能 可以控制從端口 1 發出的報文不被端口 2 接收 端口2 發出的報文
不被端口 1 接收 從而將端口 1 與端口 2 隔離開來 保證了各機構的 PC只能與機
構內的其他 PC正常通信?
?
案例:
pc1 連接到以太網交換機的端口 1 ,pc2 連接到以太網交換機的端口 2 端口 1
和端口 2 屬于同一個 VLAN 端口1 下可以接入的 IP 地址范圍為 192.168.10.1~192.168.10.20 ,端口 2 下可以接入的 IP 地址范圍為 192.168.10.21~192.168.10.50
機構1 和機構 2 的設備不能互通?
#? 全局開啟訪問管理功能?
[Quidway] am enable
#? 配置端口 1 上的訪問管理 IP 地址池?
[Quidway-Ethernet0/1] am ip-pool 192.168.100.1 10
#? 設置端口 1 與端口 2 二層隔離?
[Quidway-Ethernet0/1] am isolate ethernet0/2
#? 配置端口 2 上的訪問管理 IP 地址池?
[Quidway-Ethernet0/2] am ip-pool 192.168.100.11 20 ?
?
測試:
Pc1和pc2處于指定ip范圍時:
Pc1訪問pc2,此時不通
?
去掉端口隔離時:
Pc1訪問pc2:此時通了
Pc1和pc2不處于指定ip范圍時:此時又不通了
?
轉載于:https://blog.51cto.com/xiaogang6/822781
總結
以上是生活随笔為你收集整理的华为网络设备上的常用安全技术(一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: layui内置loading等待加载
- 下一篇: 【电路补习笔记】3、电感的参数与选型