概述
ACL     AM     MAC    ARP    AAA    Dot1x
文章目錄：
安全技術1：ACL（訪問控制列表）
安全技術2：AM（訪問管理配置）
安全技術3：MAC綁定
安全技術4：ARP綁定
安全技術5：AAA
安全技術6：802.1x
安全技術1：ACL
說明：ACL（Access Control List，訪問控制列表）
ACL即是通過配置對報文的匹配規則和處理操作來實現包過濾的功能。
基本 ACL：只根據數據包的源IP 地址制定規則。
高級 ACL：根據數據包的源IP 地址、目的IP 地址、IP 承載的協議類型、端口號，協議特性等三、四層信息制定規則。
二層 ACL：根據數據包的源MAC 地址、目的MAC 地址、802.1p 優先級、二層協議類型等二層信息制定規則。
用戶自定義 ACL：以數據包的頭部為基準，指定從第幾個字節開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。（華為設備默認允許）
??100～199：表示WLAN ACL；
??2000～2999：表示IPv4 基本ACL；
??3000～3999：表示IPv4 高級ACL；
??4000～4999：表示二層ACL；
??5000～5999：表示用戶自定義ACL。
??創建時間段：time-range
案例1-1：標準ACL實驗
1. 組網需求
禁止192.168.1.100/24通過telnet訪問192.168.1.1/24，其它主機不受限制
2. 組網圖

3. 配置步驟
int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0
quit
acl number 2000
rule 10 deny source 192.168.1.100 0
quit
應用acl之前測試：192.168.1.100可以通過telnet訪問192.168.1.1

應用acl：
user-interface vty 0 4
acl 2000 inbound
quit
應用acl之后測試：192.168.1.100不可以通過telnet訪問192.168.1.1

192.168.1.100修改IP地址之后在嘗試登錄，可成功登錄

案例1-2：高級ACL實驗
1. 組網需求
禁止192.168.10.100/24與192.168.1.200/24之間ping測試，其它主機不受限制，其它服務不受限制。
2. 組網圖

3. 配置步驟
#在交換機上進行如下配置：
int Vlan-interface 1
ip add 192.168.1.1 255.255.255.0
quit
vlan 10
port Ethernet 0/1
quit
int Vlan-interface 10
ip add 192.168.10.1 255.255.255.0
quit
#192.168.10.100pc去ping測試192.168.1.200pc

#192.168.1.200pc去ping測試192.168.10.100pc

#配置ACL 3000
acl number 3000
rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0
quit
#應用ACL
packet-filter ip-group 3000 rule 10
#查看ACL信息
[S10]dis acl config all
Advanced ACL 3000, 1 rule,
 rule 10 deny icmp source 192.168.10.100 0 destination 192.168.1.200 0 (0 times matched)
[S10]dis acl running-packet-filter all
 Acl 3000 rule 10 運行
#客戶端進行測試：zhujunjie-pc的ip地址為192.168.10.100，zhuchaobo-pc的ip地址為192.168.1.200

zhuchaobo-pc修改ip地址為192.168.1.20之后在進行測試：可以通信。

案例1-3：二層ACL實驗二層訪問控制列表
二層訪問控制列表根據源MAC 地址、源VLAN ID、二層協議類型、報文二層
接收端口、報文二層轉發端口、目的MAC 地址等二層信息制定規則，對數據
進行相應處理。
1. 組網需求
使用二層ACL，禁止192.168.100.100與192.168.100.200通信
2. 組網圖

注：zhujunjie-pc的192.168.100.100和MAC地址為：88ae-1dd6-489d
    zhuchaobo-pc的192.168.100.200和MAC地址為：206a-8a2e-c911
注：交換機版本為：
[sw1]dis version
Huawei Versatile Routing Platform Software
VRP Software, Version 3.10, Release 0041P02
3. 配置步驟
配置二層ACL之前:測試

[sw1]dis arp
IP Address　　MAC Address     VLAN ID Port Name    Aging Type
192.168.100.200 206a-8a2e-c911 1     Ethernet0/22     20    Dynamic
192.168.100.100 88ae-1dd6-489d 1     Ethernet0/1      20    Dynamic
#在交換機上配置ACL
acl number 4000
rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet 0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet 0/22
quit
#在交換機上應用ACL
packet-filter link-group 4000 rule 10

[sw1]dis acl config all        　　
Link ACL 4000, 1 rule,
 rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet0/22
[sw1]dis acl running-packet-filter all
 Acl 4000 rule 10 運行
#測試

#取消應用后，再測試
undo packet-filter link-group 4000 rule 10

安全技術2：AM訪問管理配置
說明：am訪問管理配置
當以太網交換機接入的用戶數量不大時，為了降低組網成本，局域網服務提
供者可以不使用認證計費服務器以及DHCP 服務器，而使用以太網交換機提
供的一種低成本簡單可行的替代方案。在這個低成本的替代方案中用到了交
換機的兩個特性功能：端口和IP 地址的綁定、端口間的二層隔離。
通過在以太網交換機的端口上配置二層隔離功能，用戶可以控制端口1 發出的幀不被端口2 接收，端口2發出的幀不被端口1 接收，從而將端口1 與端口2 隔離開來。從而保證了各機構的PC 只能與機構內的其他PC 正常通信，并且確保了各機構內指定的PC 可以與外部網絡正常通信。
# 全局開啟訪問管理功能
[Quidway] am enable
# 配置端口e0/1 上的訪問管理IP 地址池
[Quidway-Ethernet0/1] am ip-pool 202.10.20.1 20
# 設置端口e0/1 的二層隔離端口為e0/2功能
[Quidway-Ethernet0/1] am isolate ethernet0/2
案例2-1：AM二層端口隔離
1. 組網需求
使以太網交換機端口e0/1與端口e0/2二層隔離。
2. 組網圖

3. 配置步驟
隔離：
am enable
vlan 10
port Ethernet 0/1
port Ethernet 0/2
quit
interface Ethernet 0/1
am isolate Ethernet 0/2
quit
interface Ethernet 0/2
am isolate Ethernet 0/1
quit

端口e 0/1中客戶192.168.1.1與e 0/2的客戶192.168.1.2ping測試：
啟用am之前：

啟用am之后：

此時，更換端口之e0/3和e0/4之后，在測試

案例2-2：AM二層端口地址池：
1. 組網需求
以太網交換機端口e0/1 上訪問管理IP 地址池為192.168.1.1~192.168.1.8/24；端口e0/2 上訪問管理IP 地址池為192.168.1.9~192.168.1.19/24；
2. 組網圖

3. 配置步驟
am enable
vlan 10
port Ethernet 0/1
port Ethernet 0/2
quit
interface Vlan-interface 10
ip add 192.168.1.254 255.255.255.0
quit
interface Ethernet 0/1
am ip-pool 192.168.1.1 7
quit
interface Ethernet 0/2
am ip-pool 192.168.1.9 10
quit

啟用am之前測試：

啟用am之后測試：e 0/2的客戶192.168.1.9將ip地址修改為192.168.1.100，此時無法通信

安全技術3：IP-MAC綁定
說明：
華為三層設備上可以做到ip和mac綁定，來預防ARP對網絡造成的影響
MAC地址綁定就是利用三層交換機的安全控制列表將交換機上的端口與所對應的MAC地址進行捆綁。由于每個網絡適配卡具有唯一的MAC地址，為了有效防止非法用戶盜用網絡資源，MAC地址綁定可以有效的規避非法用戶的接入。以進行網絡物理層面的安全保護。
添加MAC 地址表項
mac-address { static | dynamic |blackhole } mac-address interface
interface-type interface-number vlan vlan-id
設置端口最多可以學習到的MAC 地址數量
mac-address max-mac-count count
顯示地址表信息
display mac-address[ display-option ]
案例3：IP-MAC綁定實驗
1. 組網需求
交換機的管理者希望在端口 Ethernet1/0/2 上對用戶接入進行MAC 地址認證，以控制用戶對Internet 的訪問。
2. 組網圖

3.配置步驟
mac static 1111-2222-3333 interface Ethernet 0/1 vlan 1
安全技術4：ARP綁定
說明：
ARP 即地址解析協議主要用于從IP 地址到以太網MAC 地址的解析。
如將ARP 映射表綁定，就可以防止一般的ARP欺騙攻擊。防止ARP病毒攻擊的最有效手段：雙向靜態ARP綁定
ARP 映射綁定：
arp static 10.2.238.7 000a-e436-d354
arp ip-address mac-address VLANID{ interface_type interface_num | interface_name }
顯示ARP 映射表show arp [ static | dynamic | all ]
打開ARP 調試信息開關debug arp packet
案例4：ARP綁定實驗
1. 組網需求
??關閉 ARP 表項檢查功能。
??設置交換機上動態 ARP 表項的老化時間為10 分鐘。
??增加一個靜態ARP 表項，IP 地址為192.168.1.1，對應的MAC 地址為
00e0-fc01-0000，對應的出端口為屬于VLAN 1 的端口Ethernet1/0/10。
2. 組網圖

3. 配置步驟
undo arp check enable
arp timer aging 10
arp static 192.168.1.1 1111-2222-3333
#測試

4. 取消綁定，測試：

安全技術5：AAA
說明：
AAA 是Authentication，Authorization and Accounting（認證、授權和計費）的簡稱，它是對網絡安全的一種管理方式。提供了一個對認證、授權和計費這三種功能進行統一配置的框架。
???認證：哪些用戶可以訪問網絡服務器；
???授權：具有訪問權的用戶可以得到哪些服務；
???計費：如何對正在使用網絡資源的用戶進行計費。
AAA 一般采用客戶端/服務器結構：客戶端運行于被管理的資源側，服務器上集中存放用戶信息。因此，AAA 框架具有良好的可擴展性，并且容易實現用戶信息的集中管理。
案例5：AAA配置舉例（Telnet用戶本地認證配置）
經典案例請參考我的博客：
請點擊：華為AAA認證
請點擊：華為AAA認證典型配置舉例
請點擊：華為S2000-HI交換機與cisco的acs結合做認證
1. 組網需求
現需要通過配置交換機實現對登錄交換機的Telnet用戶進行本地認證。
2. 組網拓撲圖

3. 配置步驟：
# 創建本地用戶telnet。
local-user telnet
service-type telnet level 3
password simple abc
quit
# 配置Telnet用戶采用AAA認證方式。
user-interface vty 0 4
authentication-mode scheme
quit
# 配置缺省system域采用的認證方式。
domain system
使用Telnet登錄時輸入用戶名為telnet@system，以使用system域進行認證。

#客戶端登陸測試

安全技術6：dot1x
說明：
802.1x協議是一種基于端口的網絡接入控制（Port Based Network Access Control）協議。“基于端口的網絡接入控制”是指在局域網接入設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網中的資源；如果不能通過認證，則無法訪問局域網中的資源。
案例6：802.1x典型配置舉例
經典案例請參考我的博客：
華為S2000-HI交換機與cisco的acs結合做認證
1. 組網需求
? 本地802.1x接入用戶的用戶名為localuser，密碼為localpass，使用明文輸入，閑置切斷功能處于打開狀態。
2. 組網圖

3. 配置步驟
# 開啟全局802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
# 開啟指定端口Ethernet 1/0/1的802.1x特性。
[Sysname] dot1x interface Ethernet 1/0/1
# 設置接入控制方式（該命令可以不配置，因為端口的接入控制在缺省情況下就是基于MAC地址的）。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
# 創建RADIUS方案radius1并進入其視圖。
[Sysname] radius scheme radius1
# 設置主認證/計費RADIUS服務器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
# 設置備份認證/計費RADIUS服務器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
# 設置系統與認證RADIUS服務器交互報文時的加密密碼。
[Sysname -radius-radius1] key authentication name
# 設置系統與計費RADIUS服務器交互報文時的加密密碼。
[Sysname-radius-radius1] key accounting money
# 設置系統向RADIUS服務器重發報文的時間間隔與次數。
[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5
# 設置系統向RADIUS服務器發送實時計費報文的時間間隔。
[Sysname-radius-radius1] timer realtime-accounting 15
# 指示系統從用戶名中去除用戶域名后再將之傳給RADIUS服務器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 創建域aabbcc.net并進入其視圖。
[Sysname] domain aabbcc.net
# 指定radius1為該域用戶的RADIUS方案，若RADIUS服務器無效，則使用本地認證方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local
# 設置該域最多可容納30個用戶。
[Sysname-isp-aabbcc.net] access-limit enable 30
# 啟動閑置切斷功能并設置相關參數。
[Sysname-isp-aabbcc.net] idle-cut enable 20 2000
[Sysname-isp-aabbcc.net] quit
# 配置域aabbcc.net為缺省用戶域。
[Sysname] domain default enable aabbcc.net
# 添加本地接入用戶。
[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple localpass