华为网络设备上几个常用的安全技术

 

ACL

基本 ACL:只根据数据包的源IP 地址制定规则。

高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。

二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。

用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

100~199:表示WLAN ACL;

2000~2999:表示IPv4 基本ACL;

3000~3999:表示IPv4 高级ACL;

4000~4999:表示二层ACL;

5000~5999:表示用户自定义ACL。


AM

当以太网交换机接入的用户数量不大时,为了降低组网成本,局域网服务提

供者可以不使用认证计费服务器以及DHCP 服务器,而使用以太网交换机提

供的一种低成本简单可行的替代方案。在这个低成本的替代方案中用到了交

换机的两个特性功能:端口和IP 地址的绑定、端口间的二层隔离。

IP-MAC

MAC地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。由于每个网络适配卡具有唯一的MAC地址,为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。以进行网络物理层面的安全保护。

ARP
 
AAA

AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它是对网络安全的一种管理方式。提供了一个对认证、授权和计费这三种功能进行统一配置的框架。

认证:哪些用户可以访问网络服务器;

� 授权:具有访问权的用户可以得到哪些服务;

� 计费:如何对正在使用网络资源的用户进行计费。

AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA 框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

Dot1x

802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。