常用的技术有:

acl  、AAA、 dotlx、MAC绑定、arp绑定、am

安全技术1:ACL

  ACL: ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

  ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。

由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。

  基本ACL:只根据三层源IP地址制定规则。

  高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

  二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

  用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

 100~199:表示WLAN ACL;
 2000~2999:表示IPv4 基本ACL;
 3000~3999:表示IPv4 高级ACL;
 4000~4999:表示二层ACL;
 5000~5999:表示用户自定义ACL。
 创建时间段:time-range
ACL案例:
  1.基本ACL
      配置ACL 2000,禁止源地址为1.1.1.1的报文通过

     <Quidway> system-view

 

     [Quidway] acl number 2000

     [Quidway-acl-basic-2000] rule deny source 1.1.1.1 0

  2.高级ACL  
      配置ACL 3000,拒绝从192.168.10.1的主机向192.168.10.10的主机发送的ping命令。

    <Quidway>system-view

 

    [Quidway] acl number 3000

    [Quidway-acl-adv-3000] rule 10 permit icmp source 192.168.10.1 0 destination 192.168.10.10 0 
 
  3.二层ACL   

       禁止192.168.10.100与192.168.10.200通信

 

       192.168.10.100的MAC地址为:00ae-1dd6-456d 对应的接口为eth1

      192.168.10.200的MAC地址为:121a-8a2e-c009 对应的接口为eth2

 

      acl number 4000

      rule 10 deny ingress 00ae-1dd6-456d 0000-0000-0000 interface Ethernet 0/1 egress 121a-8a2e-c009 0000-0000-0000 interface Ethernet 0/2

    安全技术2:AAA

 

     AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:

 1.哪些用户可以访问网络服务器

 2.具有访问权的用户可以得到哪些服务。 

 3.如何对正在使用网络资源的用户进行计费。

 认证功能:

     支持的认证方式:1.不认证  2.本地认证 3.远程认证

 授权功能:

    授权方式:1.直接授权  2.本地授权 3.RADIUS认证成功后授权 4.HWTACACS授权

 计费功能:

    1.不计费  2.远端计费

案例:

   配置要求:通过配置交换机实现对登录交换机的Telnet用户进行本地认证。

 

 

 

   配置方法:

   创建本地用户telnet

   local-user user1

   service-type telnet level 3

   password simple 123

   配置Telnet用户采用AAA认证方式。

  user-interface vty 0 4
  authentication-mode scheme

  配置缺省system域采用的认证方式。

  domain system
  使用Telnet登录时输入用户名为telnet@system,以使用system域进行认证。
 
安全技术3:802.1x

 

    802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中,主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议。

   使用802.1x的系统为典型的Client/Server体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。

   Quidway系列交换机支持以下两种端口受控方式:基于端口的认证,基于MAC的认证。

 组网要求:

 1.在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是 基于MAC地址的接入控制

 2.  本地802.1x接入用户的用户名为localuser,密码为localuser,使用明文输入,闲置切断功能处于打开状

 拓扑图:

 

 配置方法:

<Sysname> system-view

[Sysname] dot1x

开启指定端口Ethernet 1/0/1的802.1x特性。

[Sysname] dot1x interface Ethernet 1/0/1

设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Sysname] dot1x port-method macbased interface Ethernet 1/0/1

创建RADIUS方案radius1并进入其视图。

[Sysname] radius scheme radius1

设置主认证/计费RADIUS服务器的IP地址。

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

设置备份认证/计费RADIUS服务器的IP地址。

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

设置系统与认证RADIUS服务器交互报文时的加密密码。

[Sysname -radius-radius1] key authentication money1

设置系统与计费RADIUS服务器交互报文时的加密密码。

[Sysname-radius-radius1] key accounting money2

设置系统向RADIUS服务器重发报文的时间间隔与次数。

[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5

设置系统向RADIUS服务器发送实时计费报文的时间间隔。

[Sysname-radius-radius1] timer realtime-accounting 15

指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

创建域abc.net并进入其视图。

[Sysname] domain abc.net

指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。

[Sysname-isp-abc.net] scheme radius-scheme radius1 local

设置该域最多可容纳30个用户。

[Sysname-isp-abc.net] access-limit enable 30

启动闲置切断功能并设置相关参数。

[Sysname-isp-abc.net] idle-cut enable 20 2000

配置域aabbcc.net为缺省用户域。

[Sysname] domain default enable abc.net

添加本地接入用户。

[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access

[Sysname-luser-localuser] password simple localuser

安全技术4:MAC地址绑定 

 配置要求:管理员希望在端口eth0/2上对用户经行端口绑定,以控制用户访问Internet

 配制方法:mac static  1111-2222-3333 interface ethernet 0/2 vlan 1

安全技术5:ARP绑定

      ARP,即地址解析协议,实现通过IP地址得知其物理地址。目前对于ARP***防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。下面来了解以下三种方法:静态绑定Antiarp具有ARP防护功能的路由器

 

   案例1:静态绑定

     system-vew

     arp static ip-address mac-address [ vlan-id interface-type interface-number ]

安全技术6:AM  

 

   当以太网交换机接入的用户数量不多时,从成本方面考虑,分配给不同机构的端口要求属于同一个VLAN。同时,为每个机构分配固定的IP 地址范围,只有IP 地址在该地址范围内的用户才能通过该端口接入外部网络。另外,出于安全的考虑,不同机构之间不能互通。利用以太网交换机提供的端口间的二层隔离功能可以实现这些需求。
   访问管理的主要配置:
     1.开启访问管理功能   am enable 
     2.配置基于端口的访问管理 IP 地址池 
     3.配置端口间的二层隔离
     4.开启访问管理告警功能
  组网要求:
   机构 1 连接到以太网交换机的端口1,机构2 连接到以太网交换机的端口2。端口1和端口2 属于同一个VLAN。端口1 下可以接入的IP 地址范围为202.10.20.1~202.10.20.20;端口2 下可以接入的IP 地址范围202.10.20.21202.10.20.50;
机构1 和机构2 的设备不能互通。
  拓扑图:
 配置方法:
 
 将eth1/0/1与eth1/0/2都加入到vlan10中
 vlan 10

 port ethernet 1/0/1
 
 port ethernet 1/0/2
<Quidway> system-view

[Quidway] am enable
 配置端口1 上的访问管理IP 地址池。
[Quidway] interface ethernet 1/0/1
[Quidway-Ethernet1/0/1] am ip-pool 202.10.20.1 20
 将端口1加入隔离组。
[Quidway-Ethernet1/0/1] port isolate
 配置端口2 上的访问管理IP 地址池。
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am ip-pool 202.10.20.21 30
 将端口2 加入隔离组。
[Quidway-Ethernet1/0/2] port isolate