华为交换机配置实例
更新时间:2023-05-16 06:04:01 阅读量: 实用文档 文档下载
华为交换机配置实例
TELNET远程管理交换机配置
一 组网需求:
1.PC通过telnet登陆交换机并对其进行管理;
2.分别应用帐号+密码方式、仅密码方式以及radius认证方式; 3.只允许192.1.1.0/24网段的地址的PC TELNET访问。 二 组网图:
作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。 三 配置步骤: 1
H3C S3100-SI S5100系列交换机TELNET配置流程
账号+密码方式登陆
1.配置TELNET登陆的ip地址
<SwitchA>system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit [SwitchA]management-vlan 2 [SwitchA]interface vlan 2 [SwitchA-Vlan-interface2]ip address 192.168.0.1 24 2.进入用户界面视图 [SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式 [SwitchA-ui-vty0-4]authentication-mode scheme 4.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin” [SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 仅密码方式登陆
华为交换机配置实例
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password 4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei 5.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3 TELNET RADIUS验证方式配置
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme 4.配置RADIUS认证方案,名为”cams” [SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6.配置交换机与认证服务器的验证口令为”huawei” [SwitchA-radius-cams]key authentication huawei 7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain 8.创建(进入)一个域,名为”huawei” [SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案 [SwitchA-isp-huawei]radius-scheme cams 10.将域”huawei”配置为缺省域 [SwitchA]domain default enable Huawei TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录 [SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255 2.配置只允许符合ACL2000的IP地址登录交换机
华为交换机配置实例
[SwitchA]user-interface vty 0 4 [SwitchA-ui-vty0-4]acl 2000 inbound 3.补充说明:
TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置; TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。 2
H3C S3600 S5600系列交换机TELNET配置流程
账号+密码方式登陆
1.配置TELNET登陆的ip地址
<SwitchA>system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit [SwitchA]interface vlan 2 [SwitchA-Vlan-interface2]ip address 192.168.0.1 24 2.进入用户界面视图 [SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式 [SwitchA-ui-vty0-4]authentication-mode scheme 4.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin” [SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password 4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei 5.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为
华为交换机配置实例
例)
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme 4.配置RADIUS认证方案,名为”cams” [SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6.配置交换机与认证服务器的验证口令为”huawei” [SwitchA-radius-cams]key authentication huawei 7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain 8.创建(进入)一个域,名为”huawei” [SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案 [SwitchA-isp-huawei]radius-scheme cams 10.将域”huawei”配置为缺省域 [SwitchA]domain default enable Huawei TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录 [SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255 2.配置只允许符合ACL2000的IP地址登录交换机 [SwitchA]user-interface vty 0 4 [SwitchA-ui-vty0-4]acl 2000 inbound 3.补充说明:
TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;
在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无
法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”:[SwitchA]super password level 3
华为交换机配置实例
simple super3
3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程 1.补充说明:
由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行
稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:[SwitchA]telnet server enable 即可。
四 配置关键点:
1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;
2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示;
3.TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。
交换机基于端口VLAN应用配置
一 组网需求:
PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2,端口分别属于VLAN10和VLAN20。 二 组网图:
三 配置步骤: 1
方法1
1.创建(进入)VLAN10,将E1/0/1加入到VLAN10 [SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 1/0/1
2.创建(进入)VLAN20,将E1/0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 1/0/2 方法2
华为交换机配置实例
1.进入以太网端口E1/0/1的配置视图 [SwitchA]interface Ethernet 1/0/1 2.配置端口E1/0/1的PVID为10 [SwitchA-Ethernet1/0/1]port access vlan 10 3.进入以太网端口E1/0/1的配置视图 [SwitchA]interface Ethernet 0/2 4.配置端口E1/0/2的PVID为20 [SwitchA-Ethernet1/0/2]port access vlan 20 四 配置关键点: 无
Web管理的配置
五 组网需求:
PC通过IE浏览器对Switch A进行管理。 六 组网图:
作为Web登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。
七 配置步骤: 2
H3C S3100-SI-SI S5100系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中 < SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web 2.配置Web登陆的ip地址
<SwitchA>system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit [SwitchA]management-vlan 2 [SwitchA]interface vlan 2 [SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin” [SwitchA]local-user huawei
华为交换机配置实例
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 3
H3C S3600 S5600 系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中 < SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web 2.配置Web登陆的ip地址
<SwitchA>system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit [SwitchA]interface vlan 2 [SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin” [SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 4.补充说明:
如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件(可以
从网站上下载相应的交换机软件版本时得到,其扩展名为”web”或者”zip”)载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套; Web登陆主机与交换机不是直连情况下需要配置默认路由;
登陆的时候在IE浏览器中输入http://192.168.0.1即可进入Web登陆页面。 4
H3C S5500-SI S3610 S5510系列交换机Web配置流程
1.补充说明:
配置跟上述配置完全一致,但是不需要在flash中有web管理的文件,因为该文件已经
被集成在vrp软件版本中了,只要按照上述的配置作就可以了。
八 配置关键点:
1.对于S3100-SI S5100系列二层交换机,配置管理VLAN时必须保证没有别的VLAN虚接口; 2.在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)。
VLAN接口动态获取IP地址配置
九 组网需求:
1.SwitchA为二层交换机,管理VLAN为VLAN10,SwitchA的VLAN接口10动态获取IP地
华为交换机配置实例
址;
2.SwitchA的以太网端口E1/0/1为Trunk端口,连接到SwitchB,同时SwitchB提供DHCP Server功能。 一〇
组网图:
一一 5
配置步骤:
SwitchA配置
1.将E0/1端口设为trunk,并允许所有的vlan通过 [SwitchA-Ethernet1/0/1]port link-type trunk [SwitchA-Ethernet1/0/1]port trunk permit vlan all 2.创建(进入)VLAN10 [SwitchA]vlan 10
3.创建(进入)VLAN接口10 [SwitchA]interface Vlan-interface 10 4.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address dhcp-alloc Switch B配置
请参考DHCP Server配置部分 一二
配置关键点:
1.二层交换机只允许设置一个VLAN虚接口,在创建VLAN10的虚接口前需要保证没有别的VLAN虚接口;
2.虽然交换机的VLAN接口动态获取了IP地址,但是不能获得网关地址,因此还需要在交换机上手工添加静态默认路由。
流限速的配置
一三
组网需求:
在交换机的Ethernet1/0/1口的入方向设置流量限速,限定速率为1Mbps(1024Kbps)。
华为交换机配置实例
一四 组网图:
一五 6
配置步骤:
H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置
1.配置acl,定义符合速率限制的数据流 [SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any 2.对端口E1/0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1 exceed drop
配置关键点: 无
自定义ACL的配置
一六
组网需求:
配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤攻击主机发出的冒充网关的ARP报文。 一七
组网图:
华为交换机配置实例
一八 配置步骤:
H3C 3600的配置 1.定义5000 acl [Switch] acl number 5000
2.把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32分别是协议字段和源IP字段的偏移量)
[Switch-acl-user-5000]rule 0 deny 0806 ffff 16 c0a80001 ffffffff 32
3.允许arp协议报文源mac地址(偏移量为26)是000f-e226-233c(网关)的arp报文通过 [Switch-acl-user-5000]rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26 [Switch-acl-user-5000]quit 4.端口下下发创建的ACL [Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000 H3C 5600的配置 1.定义5000 acl [Switch] acl number 5000
2.把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文禁掉 [Switch-acl-user-5000]rule 0 deny 0806 ffff 20 c0a80001 ffffffff 36 3.允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过 [Switch-acl-user-5000]rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32 [Switch-acl-user-5000]quit 4.端口下下发创建的ACL [Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000 H3C 3610 5510的配置
1.定义5000 acl [Switch] acl number 5000
2.定义匹配的ACL规则,匹配arp报文 [Switch-acl-user-5000] rule deny l2 0806 ffff 12 3.配置扩展流模板bbb
[Switch] flow-template bbb extend l2 12 2 4.在端口E1/0/1上应用流模板bbb [Switch] interface Ethernet 1/0/1 [Switch-Ethernet1/0/1] flow-template bbb
华为交换机配置实例
[Switch-Ethernet1/0/1] quit 配置关键点:
1.如果开启了QinQ功能后,不建议应用用户自定义acl;
2.H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。
交换机Trunk端口配置
一九
组网需求:
1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;
2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。 二〇
组网图:
1.VLAN内互访,VLAN间禁访
2.通过三层交换机实现VLAN间互访
二一 7
配置步骤:
实现VLAN内互访VLAN间禁访配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
华为交换机配置实例
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置:
1.创建(进入)VLAN10,将E0/10加入到VLAN10 [SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/10
2.创建(进入)VLAN20,将E0/20加入到VLAN20 [SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/20
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 8
通过三层交换机实现VLAN间互访的配置
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置: 1.创建VLAN10 [SwitchB]vlan 10
华为交换机配置实例
2.设置VLAN10的虚接口地址 [SwitchB]interface vlan 10
[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3.创建VLAN20 [SwitchB]vlan 20
4.设置VLAN20的虚接口地址 [SwitchB]interface vlan 20
[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0
5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 二二 无 二三
交换机端口链路类型介绍
交换机端口链路类型介绍 配置关键点:
交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。 1.Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
2.Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
3.Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。 二四
各类型端口使用注意事项
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。
当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。
Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控
华为交换机配置实例
制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。 二五
各类型端口在接收和发送报文时的处理
1.端口接收报文时的处理:
交换机DHCP Sever的配置
二六
组网需求:
1.在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址; 2.DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。 二七
组网图:
华为交换机配置实例
二八 配置步骤:
1.创建(进入)VLAN2 [Switch]vlan 2
2.将E1/0/1端口加入VLAN2 [Switch-vlan2]port Ethernet1/0/2 3.进入VLAN接口2 [Switch-vlan2]int vlan 2 4.为VLAN2配置IP地址
[Switch-Vlan-interface2]ip address 192.168.0.1 255.255.255.0 5.全局使能DHCP功能 [Switch]dhcp enable
6.创建DHCP地址池并进入DHCP地址池视图 [Switch]dhcp server ip-pool h3c 7.配置动态分配的IP地址范围
[Switch-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0 8.配置网关地址
[Switch-dhcp-pool-h3c] gateway-list 192.168.0.1 9.禁止将PC机的网关地址分配给用户 [Switch]dhcp server forbidden-ip 192.168.0.1 10.指定vlan2虚接口工作在全局地址池模式 [Switch]dhcp select global interface vlan-interface 2 二九
配置关键点:
1.需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得192.168.0.0/24网段的IP地址;
2.对于DHCP Server设备,可以使用全局地址池和接口地址池进行地址分配,这两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令: [Switch]dhcp select global all
3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无法看到有关DHCP的配置;
4.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900-EI、Quidway S5600、H3C S3600-EI、H3C S5600系列交换机。
华为交换机配置实例
交换机DHCP Relay的配置
三〇
组网需求:
在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。 三一
组网图:
三二
配置步骤:
1.全局使能DHCP功能 [H3C]dhcp enable
2.指定DHCP Server组1所采用的DHCP Server的IP地址 [H3C]dhcp-server 1 ip 192.168.0.1
3.配置DHCP Relay到DHCP Server的接口地址 [H3C]vlan 2
[H3C-vlan2]port e1/0/2 [H3C]int vlan 2
[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0 4.配置DHCP Relay到PC的接口地址 [H3C]vlan 3
[H3C-vlan3]port e1/0/3 [H3C]int vlan 3
[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0 5.指定VLAN接口归属到DHCP Server组1 [H3C-Vlan-interface3]dhcp-server 1 三三
配置关键点:
1.必须保证路由可达;
2.保证动态获得的IP地址在地址池中;
3.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、Quidway S5600、H3C S3600和H3C S5600系列交换机。
华为交换机配置实例
防ARP攻击配置举例
关键词:ARP、DHCP Snooping
摘 要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校
园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)
MITM(Man-In-The-Middle,中间人攻击)
华为交换机配置实例
第1章 ARP攻击防御功能介绍
近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。 (1) DHCP监控模式下的ARP攻击防御解决方案
这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 (2) 认证方式下的ARP攻击防御解决方案
这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.1 ARP攻击简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1) 仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
华为交换机配置实例
图1-1 “仿冒网关”攻击示意图
(2) 欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2 “欺骗网关”攻击示意图
(3) 欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
华为交换机配置实例
图1-3 “欺骗终端用户”攻击示意图
(4) “中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。如ARP“中间人”攻击示意图所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图1-4 ARP“中间人”攻击示意图
(5) ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御
H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP
华为交换机配置实例
Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。详见常见网络攻击和防范对照表。
表1-1 常见网络攻击和防范对照表
1.2.1 DHCP Snooping功能
DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系; (2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地
址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
说明:
目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.2 IP静态绑定功能
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、
正在阅读:
华为交换机配置实例05-16
青岛旅游自助游攻略宝典04-30
微课在信息技术教学中的运用策略03-31
电影乱世佳人的英文观后感12-11
北京青泉赢睿汽车运动公园介绍05-30
关于评选2014届北京地区高校优秀毕业生的通知-学生版06-04
中秋节的故事和传说11-20
主成分分析法在学生成绩评价中的应用07-17
环保检测专用氯气CL2传感器模组04-21
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 华为
- 交换机
- 实例
- 配置
- 2011年广东省中考物理模拟试卷(一)(含答案)
- 2020下半年福建省漳州市云霄县联通公司招聘试题及解析
- 小学生兴趣作文试探
- 必修一第二章组成细胞的分子知识点总结000
- 智慧树知到《世界著名博物馆艺术经典》章节测试答案
- 话剧、喜剧小品的历史、赏析
- 2014国考行测暑期炫酷备考常识判断:行政法练习题答案
- 福建省基金会数量情况3年数据研究报告2020版
- 压铸件检验规范1
- 溶液的酸碱性与pH
- 怪物猎人 关键任务
- 钢结构安全施工组织设计
- BOOST变换器中的非线性现象研究
- 药理学-抗高血压药
- 药品采购质量评审(2018年)
- 博物馆开发和经营问卷调查分析
- 低速电动汽车通用技术条件
- 精彩作文开头赏析
- 学校综合治理总结
- 山东专升本工程力学试卷6