華為網絡裝置上的常用安全技術

概述：

安全技術1：AAA

說明

      AAA 是 Authentication，Authorization and Accounting（認證、授權和計費）的簡

稱，它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構，實際上是對網絡安全的一種管理。這裡的網絡安全主要是指通路控制，包括： 哪些使用者可以通路網絡伺服器。 具有通路權的使用者可以得到哪些服務。 如何對正在使用網絡資源的使用者進行計費。即認證功能、授權功能和計費功能。

AAA 支援以下認證方式：

不認證：對使用者非常信任，不對其進行合法檢查。一般情況下不采用這種方式。

本地認證：将使用者資訊（包括本地使用者的使用者名、密碼和各種屬性）配置在設

備上。本地認證的優點是速度快，可以降低營運成本；缺點是存儲資訊量受設

備硬體條件限制。

遠端認證：支援通過 RADIUS 協定或 HWTACACS 協定進行遠端認證，裝置

（如 Quidway 系列交換機）作為用戶端，與 RADIUS 伺服器或 TACACS 服務

器通信。對于 RADIUS 協定，可以采用标準或擴充的 RADIUS 協定。

AAA 是一種管理架構，是以，它可以用多種協定來實作。在實踐中，人們最常使用 RADIUS 協定來實作 AAA。

案例：關于利用radius 實作對使用者telnet的控制

AAA

利用windows自帶元件做RADIUS伺服器

建立test1賬号，允許撥入

交換機配置

SW3 100.23

radius scheme xxx                       配置RADIUS方案

primary authentication 100.100       驗證伺服器位址

key authentication 654321              互動封包時的共享密鑰

user-name-format without-domain    登入時不用域名@tec

accounting optional                       計費

server-type standard                     服務類型可以選擇standard類型或huawei類型

domain tec                                    配置domain

radius-scheme xxx                         引用RADIUS方案

access-limit enable 10                      限制接入使用者數量

accounting optional

(dot1x authentication-method )

SW4

int vlan 1      100.24

radius scheme xxxx           

primary authen 100.100

key authen 123456

server-type standard

domain tec                       配置domain

radius-scheme xxx

access-limit enable 10       

安全技術2：arp

       ARP（Address Resolution Protocol，位址解析協定）用于将網絡層的IP位址解析為資料鍊路層的實體位址（MAC位址）。網絡裝置進行網絡尋址時隻能識别資料鍊路層的MAC位址，不能直接識别來自網絡層的IP位址。如果要将網絡層中傳送的資料報交給目的主機，必須知道該主機的MAC位址。是以網絡裝置在發送封包之前必須将目的主機的IP位址解析為它可以識别的MAC位址。

案例

将主機mac與ip位址綁定

系統視圖：

arp timer aging 60 arp表老化時間

arp static 192.168.100.100 aaaa-aaaa-aaaa

安全技術3：mac

說明

為了快速轉發封包，以太網交換機需要維護MAC位址轉發表。MAC位址轉發表是一張基于端口的二層轉發表，是以太網交換機實作二層封包快速轉發的基礎

設定合适的老化時間可以有效實作MAC位址的老化功能。使用者設定的老化時間過長或者過短，都可能導緻以太網交換機廣播大量找不到目的MAC位址的資料封包，影響交換機的運作性能。

以太網交換機可以利用MAC位址學習功能擷取與某端口相連的網段上各網絡裝置的MAC位址。對于發往這些MAC位址的封包，以太網交換機可以直接使用硬體轉發。如果MAC位址轉發表過于龐大，可能導緻以太網交換機的轉發性能下降。

通過設定以太網端口最多學習到的MAC位址數，使用者可以控制以太網交換機維護的MAC位址轉發表的表項數量。當端口學習到的MAC位址條數達到使用者設定的最大值時，該端口将不再對MAC位址進行學習

顯示位址表動态表項的老化時間

display mac-address aging-time

設定交換機上動态MAC位址表項的老化時間為500秒。

mac-address timer aging 500

設定端口最多可以學習到的MAC位址數量

mac-address max-mac-count count

mac-adress static aaaa-aaaa-aaaa interface Ethernet 0/1 vlan 1

安全技術4：dot1x

       802.1x協定是一種基于端口的網絡接入控制（Port Based Network Access Control）協定。“基于端口的網絡接入控制”是指在區域網路接入控制裝置的端口這一級對所接入的裝置進行認證和控制。連接配接在端口上的使用者裝置如果能通過認證，就可以通路區域網路中的資源；如果不能通過認證，則無法通路區域網路中的資源——相當于連接配接被實體斷開。 

       使用802.1x的系統為典型的Client/Server體系結構，包括三個實體：Supplicant System（用戶端）、Authenticator System（裝置端）以及Authentication Server System（認證伺服器）

1.要求在各端口上對使用者接入進行認證，以控制其通路Internet；接入控制模式要求是基于MAC位址的接入控制。

2.所有接入使用者都屬于一個預設的域：aabbcc.net，該域最多可容納30個使用者；認證時，先進行RADIUS認證，如果RADIUS伺服器沒有響應再轉而進行本地認證；計費時，如果RADIUS計費失敗則切斷使用者連接配接使其下線；此外，接入時在使用者名後不添加域名，正常連接配接時如果使用者有超過 20分鐘流量持續小于2000Bytes的情況則切斷其連接配接。

3. 由兩台RADIUS伺服器組成的伺服器組與交換機相連，其IP位址分别為10.11.1.1和10.11.1.2，前者作為主認證/備份計費伺服器，後者作為備份認證/主計費伺服器；設定系統與認證RADIUS伺服器互動封包時的加密密碼為“name”、與計費RADIUS伺服器互動封包時的加密密碼 “money”，設定系統在向RADIUS伺服器發送封包後5秒種内如果沒有得到響應就向其重新發送封包，重複發送封包的次數總共為5次，設定系統每15 分鐘就向RADIUS伺服器發送一次實時計費封包，訓示系統從使用者名中去除使用者域名後再将之傳給RADIUS伺服器。

4.本地802.1x接入使用者的使用者名為localuser，密碼為localpass，使用明文輸入，閑置切斷功能處于打開狀态

radius scheme 2000

primary authentication 10.11.1.1 1812

primary accouting 10.11.1.1 1813

# 開啟全局802.1x特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x

# 開啟指定端口Ethernet 1/0/1的802.1x特性。

[Sysname] dot1x interface Ethernet 1/0/1

# 設定接入控制方式（該指令可以不配置，因為端口的接入控制在預設情況下就是基于MAC位址的）。

[Sysname] dot1x port-method macbased interface Ethernet 1/0/1

# 建立RADIUS方案radius1并進入其視圖。

[Sysname] radius scheme radius1

# 設定主認證/計費RADIUS伺服器的IP位址。

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

# 設定備份認證/計費RADIUS伺服器的IP位址。

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

# 設定系統與認證RADIUS伺服器互動封包時的加密密碼。

[Sysname -radius-radius1] key authentication name

# 設定系統與計費RADIUS伺服器互動封包時的加密密碼。

[Sysname-radius-radius1] key accounting money

# 設定系統向RADIUS伺服器重發封包的時間間隔與次數。

[Sysname-radius-radius1] timer 5

[Sysname-radius-radius1] retry 5

# 設定系統向RADIUS伺服器發送實時計費封包的時間間隔。

[Sysname-radius-radius1] timer realtime-accounting 15

# 訓示系統從使用者名中去除使用者域名後再将之傳給RADIUS伺服器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 建立域aabbcc.net并進入其視圖。

[Sysname] domain aabbcc.net

# 指定radius1為該域使用者的RADIUS方案，若RADIUS伺服器無效，則使用本地認證方案。

[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local

# 設定該域最多可容納30個使用者。

[Sysname-isp-aabbcc.net] access-limit enable 30

# 啟動閑置切斷功能并設定相關參數。

[Sysname-isp-aabbcc.net] idle-cut enable 20 2000

[Sysname-isp-aabbcc.net] quit

# 配置域aabbcc.net為預設使用者域。

[Sysname] domain default enable aabbcc.net

# 添加本地接入使用者。

[Sysname] local-user localuser

[Sysname-luser-localuser] service-type lan-access

[Sysname-luser-localuser] password simple localpass

安全技術5：acl

      ACL（Access Control List，通路控制清單）主要用來實作流識别功能。網絡裝置為了過濾資料包，需要配置一系列的比對規則，以識别需要過濾的封包。在識别出特定的封包之後，才能根據預先設定的政策允許或禁止相應的資料包通過。

根據應用目的，可将ACL分為下面幾種： 

      基本ACL：隻根據三層源IP位址制定規則。 

      進階ACL：根據資料包的源IP位址資訊、目的IP位址資訊、IP承載的協定類型、協定特性等三、四層資訊制定規則。 

      二層ACL：根據源MAC位址、目的MAC位址、VLAN優先級、二層協定類型等二層資訊制定規則。

應用方式

1. 直接下發到硬體中

2. 被上層子產品引用 

比對順序（match-order）：

1.配置優先：根據配置順序比對ACL規則。config Config order 

2.深度優先：根據“深度優先”規則比對ACL規則。auto Auto order

在終端接口上應用acl控制telnet

交換機的端口預設都是屬于vlan1（管理vlan）

這裡管理位址為192.168.100.25

更改時進入接口模式：int Vlan-interface 1  

[sw5-Vlan-interface1]ip address ?

  X.X.X.X      IP address

此時可以通過任意端口telnet進入交換機，當然前提是有賬戶 

[sw5]acl number 2000

[sw5-acl-basic-2000]rule deny source 192.168.100.28 0

應用在終端接口上：

        [sw5]user-interface vty 0 4

        First-Last user terminal interface number to be configured

[sw5-ui-vty0-4]acl 2000 inbound    （因為是拒絕登陸，是以選擇inbound）

inbound   Filter login connections from current UI

outbound  Filter logout connections from current UI

應用acl之後雖然可以ping通，但是已經不能telnet了

取消acl

[sw5-ui-vty0-4]undo acl inbound ?

  <cr>

取消之後就可以重新登陸了，這說明我們的acl是有效的

安全技術6：am

通過端口隔離特性，使用者可以将需要進行控制的端口加入到一個隔離組中，實作隔離組中的端口之間二層、三層資料的隔離，既增強了網絡的安全性，也為使用者提供了靈活的組網方案。

目前一台裝置隻支援建立一個隔離組，組内的以太網端口數量不限

案例1：隔離端口1、2

[sw5]am enable開啟端口隔離

将端口eth0/1和 eth0/2加入同一vlan

vlan 10

[sw5-vlan10]port Ethernet 0/1

[sw5-vlan10]port Ethernet 0/2

此時他們是可以互相通信的，下面做端口隔離：

進入接口視圖：

[sw5-vlan10]int eth0/1

[sw5-Ethernet0/1]am isolate Ethernet 0/1

[sw5-vlan10]int eth0/2

[sw5-Ethernet0/1]am isolate Ethernet 0/2

此時已經不通了，更改端口測試可以ping通100.41，說明端口隔離有效

案例2：

采用案例1方案：

做端口隔離的時候可以劃分端口範圍：

如将端口1與2-5隔離開：

interface Ethernet 0/1

am isolate Ethernet 0/2 to eth0/5

B在2-5端口測試結果

将B換到除了前5個端口的任意端口

可以通信

通路、管理IP 位址池

am ip-pool  X.X.X.X      IP address

如設定ip範圍192.168.100.20~30可以使用1端口     

192.168.100.30~40      

因為這兩台機器都是處在ip-pool範圍内，是以可以通信

将ip改為位址範圍之外：