华为设备上的安全技术
华为网络设备上几个常用的安全技术ACL 基本ACL:只根据数据包的源IP地址制定规则。
高级ACL:根据数据包的源IP 地址、目的IP地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。
二层ACL:根据数据包的源MAC 地址、目的MAC地址、802.1p 优先级、二层协议类型等二层信息制定规则。
用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
100~199:表示WLANACL;
2000~2999:表示IPv4基本ACL;
3000~3999:表示IPv4高级ACL;
4000~4999:表示二层ACL;
5000~5999:表示用户自定义ACL。
AM 当以太网交换机接入的用户数量不大时,为了降低组网成本,局域网服务提
供者可以不使用认证计费服务器以及DHCP服务器,而使用以太网交换机提
供的一种低成本简单可行的替代方案。在这个低成本的替代方案中用到了交
换机的两个特性功能:端口和IP地址的绑定、端口间的二层隔离。
IP-MAC MAC地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。由于每个网络适配卡具有唯一的MAC地址,为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。以进行网络物理层面的安全保护。
ARP AAA AAA是Authentication,Authorizationand Accounting(认证、授权和计费)的简称,它是对网络安全的一种管理方式。提供了一个对认证、授权和计费这三种功能进行统一配置的框架。
认证:哪些用户可以访问网络服务器;
� 授权:具有访问权的用户可以得到哪些服务;
� 计费:如何对正在使用网络资源的用户进行计费。
AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
Dot1x 802.1x协议是一种基于端口的网络接入控制(PortBased Network AccessControl)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
页:
[1]