??? 二層訪問控制列表:根據(jù)源MAC地址����、源VLAN ID�����、二層協(xié)議類型���、報文二層接收端口、報文二層轉發(fā)端口���、目的MAC地址等二層信息制定規(guī)則���,對數(shù)據(jù)進行相應處理。
??? 用戶自定義訪問控制列表:根據(jù)用戶的定義對二層數(shù)據(jù)幀的前80個字節(jié)中的任意字節(jié)進行匹配��,對數(shù)據(jù)報文作出相應的處理���。正確使用用戶自定義訪問控制列表需要用戶對二層數(shù)據(jù)幀的構成有深入的了解����。
??? 訪問控制列表在網絡設備中有著廣泛的應用,訪問控制列表配置�、啟用包括以下幾個步驟�����,最好依次進行�����,其中前兩個步驟可以不用配置�,采用默認值�。
??? (1)配置時間段
??? 在系統(tǒng)視圖下使用time-range命令配置時間段����。例如,如果想在每周的上班時間8:00--16:00控制用戶訪問��,可以使用下面的命令:
??? time-range ourworingtime 8:00 to 16:00 working-day
??? (2)選擇交換機使用的流分類規(guī)則模式
??? 交換機只能選擇一種流分類規(guī)則模式:二層ACL模式或者三層ACL模式�。在二層ACL模式下�����,只有二層ACL可以被定義、激活或者被其他應用引用��,三層ACL模式類似���。可以通過下面的命令來選擇使用L2或L3模式的流分類規(guī)則���。缺省情況下���,選擇使用IP-based流分類規(guī)則模式,即L3流分類規(guī)則�。
??? 在系統(tǒng)視圖下進行下列配置:
??? acl mode { ip-based | link-based }
??? (3)定義訪問控制列表(命令較多,只以高級訪問控制列表為例)
??? ?���、龠M入相應的訪問控制列表視圖
??? acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]
??? ?、诙x訪問列表的子規(guī)則
??? 在系統(tǒng)視圖下使用rule命令配置規(guī)則����。
??? 例如�����,如果想控制內網10.10.2.0/24用戶在工作時間使用ftp下載�,可以使用下面的命令:
??? acl number 3006
??? rule 1 deny tcp source 10.10.2.0 255.255.255.0 destination any destination-port eq ftp time-range ourworingtime
??? ?���、奂せ钤L問控制列表
??? 不同的交換機型號配置命令不太相同���,以S6500系列為例,在QoS 視圖下進行下列配置:
??? packet-filter inbound { ip-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] }
??? 下期將為您介紹流量及端口限速控制技術�、TCP屬性及CPU負載控制技術�����、ARP技術��、登錄和訪問交換機控制技術����、鏡像技術��。
??? 以下您將學到流量及端口限速控制技術、TCP屬性及CPU負載控制技術�、ARP技術、登錄和訪問交換機控制技術����、鏡像技術。
??? 流量及端口限速控制技術
??? 為了防止因大流量數(shù)據(jù)傳輸引起的端口阻塞�����,消除惡意用戶或者中毒用戶對網絡的影響,可以采用流量及端口限速控制技術�。
??? <BR> 配置端口流量閾值
??? 通過配置端口流量閾值,系統(tǒng)可以周期性地對端口的數(shù)據(jù)流量進行監(jiān)控���。當端口的數(shù)據(jù)流量超出配置的閾值后�,系統(tǒng)將根據(jù)指定的方式進行處理:自動關閉端口并發(fā)送告警信息或僅發(fā)送告警信息����。在以太網端口視圖下配置端口的流量閾值及超出閾值后的處理方式:
??? flow-constrain time-value flow-value { bps | pps }
??? flow-constrain method { shutdown | trap }
??? 流量監(jiān)管
??? 流量監(jiān)管是基于流的速率限制,它可以監(jiān)督某一流量的速率�����,如果流量超出指定的規(guī)格���,就采用相應的措施��,如丟棄那些超出規(guī)格的報文或重新設置它們的優(yōu)先級�����。
??? 端口限速
??? 端口限速就是基于端口的速率限制����,它對端口輸出報文的總速率進行限制。
??? TCP屬性及CPU負載控制技術
??? 黑客掃描����、蠕蟲病毒等都會引起過多TCP連接��,CPU負載過重與此也有關系�����,適當?shù)卣{整交換機的TCP屬性和送達CPU的報文����,可以有效地降低CPU負載。
??? 配置TCP 屬性
??? synwait定時器:當發(fā)送SYN報文時���,TCP啟動synwait定時器�,如果synwait超時前未收到回應報文�����,則TCP連接將被終止�。synwait定時器的超時時間取值范圍為2~600秒,缺省值為75秒:
??? tcp timer syn-timeout time-value
??? finwait定時器:當TCP的連接狀態(tài)由FIN_WAIT_1變?yōu)镕IN_WAIT_2時���,啟動finwait 定時器���,如果finwait定時器超時前仍未收到FIN報文���,則TCP連接被終止。finwait的取值范圍為76~3600秒�����,finwait的缺省值為675秒:
??? tcp timer fin-timeout time-value
??? 面向連接Socket的接收和發(fā)送緩沖區(qū)的大?�。悍秶鸀?~32K字節(jié)���,缺省值為4K字節(jié):
??? tcp window window-size
??? 配置特殊IP報文是否送CPU處理
??? 在交換機的IP報文轉發(fā)過程中�����,通常重定向���、TTL超時及路由不可達的報文會送到CPU,CPU在收到以上報文后會通知對方處理����。但如果配置錯誤或有人惡意攻擊����,則會造成CPU負載過重��,這時便可通過下面的命令設置相應報文不送CPU處理��,以保護系統(tǒng)的正常運行���。缺省情況下,重定向����、路由不可達的報文不送CPU處理,TTL超時報文送CPU處理:
??? undo ip { redirects | ttl-expires | unreachables }
??? ARP技術
??? IP地址不能直接用來進行通信��,因為鏈路層的網絡設備只能識別MAC地址���。ARP用于將IP地址解析為MAC地址��,ARP動態(tài)執(zhí)行并自動尋求IP地址到以太網MAC地址的解析�,無需管理員的介入���,也可以手工維護���。通常將手工配置的IP地址到MAC地址的映射���,稱之為靜態(tài)ARP。
??? 免費ARP技術通過對外發(fā)送免費ARP報文�����,防止通過各種ARP欺騙手段產生的攻擊���。
???
??? 動態(tài)ARP老化定時器
??? 交換機允許用戶指定動態(tài)ARP老化定時器的時間����。動態(tài)地址表的老化時間是指在該表項從交換機地址表中刪除之前的生存時間��,若定時器超時�����,就將該表項從地址表中刪除�。缺省情況下,動態(tài)ARP老化定時器為20分鐘:
??? arp timer aging aging-time
??? 免費ARP技術
??? 免費ARP功能:網絡中設備可以通過發(fā)送免費ARP報文來確定其他設備的IP地址是否與自己沖突�。如果發(fā)送免費ARP報文的設備正好改變了硬件地址,那么這個報文就可以通知其他設備及時更新高速緩存中舊的硬件地址����。例如:設備收到一個免費ARP報文后���,如果高速緩存中已存在此報文對應的ARP表項,那么此設備就用免費ARP報文中攜帶的發(fā)送端硬件地址(如以太網地址)對高速緩存中相應的內容進行更新���。設備接收到任何免費ARP報文都要完成這個操作�����。
??? 免費ARP報文的特點:報文中攜帶的源IP和目的IP地址都是本機地址,報文源MAC地址是本機MAC地址����。當設備收到免費ARP報文后,如果發(fā)現(xiàn)報文中的IP地址和自己的IP地址沖突���,則給發(fā)送免費ARP報文的設備返回一個ARP應答�����,告知該設備IP地址沖突�����。缺省情況下��,交換機的免費ARP報文發(fā)送功能處于開啟狀態(tài)��,免費ARP報文學習功能處于關閉狀態(tài)����。在系統(tǒng)視圖下免費ARP的配置過程如下:
??? arp send-gratuitous enable
??? gratuitous-arp-learning enable
???
??? 登錄和訪問交換機控制技術
??? 目前,以太網交換機提供了多種用戶登錄�����、訪問設備的方式�,主要有通過Console口、SNMP訪問��、通過TELNET或SSH訪問和通過HTTP訪問等方式�����。以太網交換機提供對這幾種訪問方式進行安全控制的特性�,防止非法用戶登錄、訪問交換機設備�。
??? 安全控制分為兩級:第一級安全通過控制用戶的連接實現(xiàn),通過配置ACL對登錄用戶進行過濾����,只有合法用戶才能和交換機設備建立連接����;第二級安全主要通過用戶口令認證實現(xiàn)��,連接到設備的用戶必須通過口令認證才能真正登錄到設備�����。
??? 設置口令
??? 為防止未授權用戶的非法侵入����,必須在不同登錄和訪問的用戶界面(AUX用戶界面用于通過Console口對以太網交換機進行訪問��,VTY用戶界面用于通過Telnet對以太網交換機進行訪問)設置口令���,包括容易忽略的SNMP的訪問口令(一定不要用“public”的默認口令 )和Boot Menu口令��,同時設置登錄和訪問的默認級別和切換口令���。
??? 在不同登錄和訪問的用戶界面,使用如下命令設置口令:
??? authentication-mode password
??? set authentication password { cipher | simple } password
??? 配置ACL對登錄用戶進行過濾
??? 通過配置ACL對登錄用戶進行過濾控制���,可以在進行口令認證之前將一些惡意或者不合法的連接請求過濾掉����,保證設備的安全。配置ACL對登錄用戶進行過濾控制需要定義訪問控制列表和引用訪問控制列表���。
??? 配置舉例及步驟:僅允許來自10.10.1.66和10.10.1.78的TELNET用戶訪問交換機:
??? # 定義基本訪問控制列表��。
??? [Quidway] acl number 2008 match-order config
??? [Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0
??? [Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0
??? [Quidway-acl-basic-2008] quit
??? # 引用訪問控制列表�。
??? [Quidway] user-interface vty 0 4
??? [Quidway-user-interface-vty0-4] acl 2008 inbound
??? 鏡像技術
??? 以太網交換機提供基于端口和流的鏡像功能�����,即可將指定的1個或多個端口的報文或數(shù)據(jù)包復制到監(jiān)控端口����,用于報文的分析和監(jiān)視、網絡檢測和故障排除(以S6500系列為例):
??? mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8> mirrored-to mornitor-port
??? 由于大多數(shù)對局域網危害較大的網絡病毒和人為破壞都具有典型的欺騙和掃描�����、快速發(fā)包���、大量ARP請求等特征���,考慮局域網的實際情況���,綜合采用上述技術中的某幾種,在接入層�、匯聚層交換機上分級配置,可以在一定程度上自動阻斷惡意數(shù)據(jù)包����,及時告警,準確定位病毒源��、故障或干擾點����,及時采取措施,把對局域網的危害減輕到盡可能小的程度�����。
???
