华为 IP源防攻击和MAC认证

华为 IP源防攻击和MAC认证文章目录一、拓扑二、IPSG三、MAC认证

大家好,又见面了,我是你们的朋友全栈君。

我是艺博东 ,一个正在努力学IT的码农;好了,话不多说,我们直接进入正文。

一、拓扑

在这里插入图片描述

eNSP模拟器可以正常配置,但是没出效果。

二、IPSG

1、简介

IP Source Guard:IP源防攻击:
(1)基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机;

(2)确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

2、原理

IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。

3、分类

(1)静态绑定表
手动配置合法源地址和mac地址和vlan 接口等对应关系,适用于主机数量较少且合法主机地址固定的情景;

(2)DHCP Snooping动态绑定表
配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

4、部署

(1)静态绑定 接口视图
接口视图下的IPSG只针对进入此接口的数据起到过滤的作用;

[AR-1]user-bind static ip-address 10.1.1.1 mac-address aaaa-bbbb-cccc vlan 1  //针对源IP10.1.1.1绑定MAC地址为aaaa-bbbb-cccc 合法vlan 为vlan1

[AR-1]int G0/0/1
[AR-1-GigabitEthernet0/0/1]ip source check user-bind enable                  //接口开启IPSG
[AR-1-GigabitEthernet0/0/1]ip source check user-bind check-item ip-address mac-address vlan //对进入此接口的数据进行IPSG过滤,匹配数据的源地址,mac地址和所属的vlan标签 
[AR-1-GigabitEthernet0/0/1]quit 

(2)静态绑定 Vlan视图
Vlan 视图下针对此vlan下的所有接口进入的数据起到过滤的作用;

[SW-1]user-bind static ip-address 172.168.1.1 mac-address a5aa-B9bb-cc4c interface GigabitEthernet 0/0/10 vlan 1
[SW-1]vlan 1
[SW-1-vlan1]ip source check user-bind enable  //针对此vlan下所有进口进入的数据进行IPSG过滤  
[SW-1-vlan1]ip source check user-bind check-item interface ip-address mac-address 
//IPSG检测绑定的源地址,接口,mac地址信息
[SW-1-vlan1]quit 

(3)动态绑定 Vlan视图

[SW-1]dhcp enable                   //开启此SW的dhcp功能
[SW-1]dhcp snooping enable          //全局视图开启DHCP Snooping功能
[SW-1]vlan 10                       //进入vlan 10
[SW-1-vlan10]dhcp snooping enable   //开启此vlan的 DHCP Snooping功能
[SW-1]-vlan10]ip source check user-bind enable   //开启此vlan下的IPSG功能
[SW-1]-vlan10]quit
[SW-1]display dhcp snooping user-bind all         //查看Host的动态绑定表信息

三、MAC认证

1、MAC认证简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后,即启动对该用户的认证。

2、MAC认证方式

(1)采用MAC地址形式:使用用户的MAC地址作为认证时的用户名和密码;

(2)采用固定用户名形式:不论用户的MAC地址为何值,所有用户均使用设备上管理员指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

[Huawei]mac-authen username
                      fixed       //使用用户名密码认证
                      macaddress  //采用MAC地址认证

3、MAC认证数量

接口下通过MAC认证接入的用户数量进行限制的时候,允许接入的MAC认证最大用户数量。用户到达配置的最大数时,后续MAC认证用户将不能够通过该接口接入网络。

[Huawei]mac-authen max-user  X   //一接口允许接入的MAC认证最大用户数量X(范围1--255)

4、MAC认证计时器

(1)Guest-Vlan用户重认证定时器(guest-vlan reauthenticate-period):在用户被加入Guest Vlan之后,设备将以此定时器设置的时间间隔为周期向Guest Vlan中的用户发起重认证。若重认证成功,则用户退出Guest Vlan;

(2)用于下线探测定时器(offline-detect):为确保用户的正常在线,设备会向在线用户发送探测报文,如果用户在探测周期(探测周期由该定时器设置)内没有回应,则设备认为该用户已下线;

(3)静默定时器(quiet-period):在用户认证失败后,设备需要静默一段时间(该时间即由静默定时器设置)。在静默期间,设备不处理该用户的认证请求;

(4)周期性重认证定时器(reauthenticate-period):如果接口下开启了周期性重认证功能,设备将以此定时器设置的时间间隔为周期对该接口的在线用户发起重认证;

(5)认证服务器超时定时器(server-timeout):当设备向认证服务器发送RADIUS Access-Request请求报文后,设备启动此定时器。若在该定时器设置的时长内,设备未收到认证服务器的响应,则将重发认证请求报文。

[Huawei]mac-authen timer 
                   timer guest-vlan X            //默认60S
                   timer offline-detect X        //默认300S 
                   timer quiet-period X          //默认60S 
                   timer reauthenticate-period X //默认1800S
                   timer server-timeout X        //默认30S  

5、MAC认证Guest VLAN

设备接口上配置Guest VLAN,用户在未进行认证之前将被加入Guest VLAN进而能够访问Guest VLAN中的资源。但用户若需访问Guest VLAN之外的网络资源时仍需要进行认证。

[Huawei]authentication guest-vlan 100 interface GigabitEthernet 0/0/5  //未认证的用户加入到vlan 100

[Huawei]mac-authen                         //开启本SW的MAC认证功能
[Huawei]int G0/0/2
[Huawei-GigabitEthernet0/0/2]mac-authen    //接口下开启MAC认证

人之所以能,是相信能。


在这里插入图片描述

好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/147897.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • cuda卸载与安装

    cuda卸载与安装cuda卸载1.正常卸载操作在cuda的安装目录下,有卸载脚本1.运行卸载脚本cd/usr/local/cuda/binsudo./uninstall_cuda_9.0.pl2.删除安装文件夹sudorm-rfcudasudorm-rcuda-9.0找不到uninstall的卸载操作1.正常卸载操作sudoapt-get–purgeremovecuda:卸载软件及其配置sudoapt-getautoremovecuda

  • 学计算机我后悔了(计算机专业初级书籍)

    大家好,我是小林哥。平日里,大家都喊程序员加班多很辛苦,动不动就掉头发,但干的还是很香的,毕竟大多数公司钱还是给的很到位的,今年毕业应届生的我见到好多动不动就月薪20K~30K的,真让人两眼泪酸酸,当然这离不开他们大学期间的努力。讲真,没什么家庭背景的人,选择当程序员确实是比较好的选择了,原因有二:首先,当今互联网、AI人工智能、大数据等都是高速发展的行业,自然人才需求很多,薪资也相对其他传统行业高;第二,纯粹看你技术能力,只要自己愿意付出努力,技术能力肯定会慢慢提高上来,而且现在比起几十年

  • ftp文件下载工具,三个非常好使的ftp文件下载工具

    ftp文件下载工具,三个非常好使的ftp文件下载工具ftp文件下载工具是什么工具,可能有人会回答说不知道,因为一般只有从事网站管理的工作者会使用的多一点。但不是每个人生来就会的,所以刚开始肯定都会学习怎么使用。这篇文章就来告诉大家有哪些ftp文件下载工具吧。第一款:IIS7服务器管理工具说实话,这个工具算是比较好的管理工具了。里面的功能除了批量管理,还有很多别的功能,主要也是功能也比较全面,相信大多数使用的网站工作人员都比较熟悉了。它里面还能够定时上传下载、定时备份和主动更新。把你花在更新上的经历都省了。IIS7服务器管理工具除了在ftp上面有这么多的

  • vue动态组件component原理_component注解

    vue动态组件component原理_component注解componentis内置组件切换方法一:component组件(单独拿出一个组件来专门进行切换使用)使用is来绑定你的组件:如下面的reviewedPlanplanDetailsListattachmentList等引入的组件名changeViewFun是用来切换组件的方法通过给is绑定的currentView来实现切换组件pathUrl就是当前的路由…

  • 重复读取输入流_redis同时读写

    重复读取输入流_redis同时读写inputstream只能读取一次,再次读取则无法获取到内容。这是因为inputStream的内部有个pos指针,当读取的时候指针会不断的移动,当移动到末尾的时候,就无法再次读取了。问题解决:方法一:使用ByteArrayOutputStream将字节缓存,每次读取都从ByteArrayOutputStream里面获取。获取ByteArrayOutputStream…

  • 网页500错误怎么解决_系统报500错误解决方法

    网页500错误怎么解决_系统报500错误解决方法1.问题描述2.问题解决3.HTTP请求代码1.问题描述1.使用http方式请求对方服务器,返回JSON格式数据2.由于是测试环境,网段不是同一个,对方服务器网段做了代理,我们能ping通,也能telnet3.使用浏览器访问能正常返回JSON格式数据4.用代码解析http请求一直报500错误,对方觉得是我们代码问题,但是我们用代码解析公网上的一些请求是正常的;而且…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号