华为网络设备上常用的安全技术

华为网络设备上常用的安全技术：

概述：

ACL AM MAC ARP AAA Dot1x

文章目录：

安全技术1：ACL（访问控制列表）

安全技术2：AM（访问管理配置）

安全技术3：MAC绑定

安全技术4：ARP绑定

安全技术5：AAA

安全技术6：802.1x

安全技术1：ACL

说明：ACL（Access Control List，访问控制列表）

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

基本ACL：只根据数据包的源IP 地址制定规则。

高级ACL：根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号，协议特性等三、四层信息制定规则。

二层ACL：根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。

用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。（华为设备默认允许）

∙100～199：表示WLAN ACL；

∙2000～2999：表示IPv4 基本ACL；

∙3000～3999：表示IPv4 高级ACL；

∙4000～4999：表示二层ACL；

∙5000～5999：表示用户自定义ACL。

∙创建时间段：time-range

案例1-1：标准ACL实验

1. 组网需求

禁止192.168.1.100/24通过telnet访问192.168.1.1/24，其它主机不受限制

2. 组网图

3. 配置步骤

int Vlan-interface 1

ip add 192.168.1.1 255.255.255.0

quit

acl number 2000

rule 10 deny source 192.168.1.100 0

quit

应用acl之前测试：192.168.1.100可以通过telnet访问192.168.1.1

应用acl：

user-interface vty 0 4

acl 2000 inbound

quit

应用acl之后测试：192.168.1.100不可以通过telnet访问192.168.1.1

192.168.1.100修改IP地址之后在尝试登录，可成功登录

案例1-2：高级ACL实验

1. 组网需求

禁止192.168.10.100/24与192.168.1.200/24之间ping测试，其它主机不受限制，其它服务不受限制。

2. 组网图

3. 配置步骤

#在交换机上进行如下配置：

int Vlan-interface 1

ip add 192.168.1.1 255.255.255.0

quit

vlan 10

port Ethernet 0/1

quit

int Vlan-interface 10

ip add 192.168.10.1 255.255.255.0

quit

#192.168.10.100pc去ping测试192.168.1.200pc

#192.168.1.200pc去ping测试192.168.10.100pc

#配置ACL 3000

acl number 3000

rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 quit

#应用ACL

packet-filter ip-group 3000 rule 10

#查看ACL信息

[S10]dis acl config all

Advanced ACL 3000, 1 rule,

rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)

[S10]dis acl running-packet-filter all

Acl 3000 rule 10 运行

#客户端进行测试：zhujunjie-pc的ip地址为192.168.10.100，zhuchaobo-pc 的ip地址为192.168.1.200

zhuchaobo-pc修改ip地址为192.168.1.20之后在进行测试：可以通信。

案例1-3：二层ACL实验二层访问控制列表

二层访问控制列表根据源MAC 地址、源VLAN ID、二层协议类型、报文二层

接收端口、报文二层转发端口、目的MAC 地址等二层信息制定规则，对数据

进行相应处理。

1. 组网需求

使用二层ACL，禁止192.168.100.100与192.168.100.200通信

2. 组网图

注：zhujunjie-pc的192.168.100.100和MAC地址为：88ae-1dd6-489d zhuchaobo-pc的192.168.100.200和MAC地址为：

206a-8a2e-c911

注：交换机版本为：

[sw1]dis version

Huawei Versatile Routing Platform Software VRP Software, Version 3.10, Release 0041P02 3. 配置步骤

配置二层ACL之前:测试

[sw1]dis arp