华为s2700，3700配置指南，安全

华为s2700，3700交换机配置指南，安全方面配置，防dhcp欺骗配置等S2700&S3700系列以太网父换机置指南-安全前言前言读者对象本文档介绍了S2700&S3700中安全特性的基本概念、在不同应用场景中的配置过程和配置举例。本文档提供了安全特忙的配冒方法。本文档主要适用于以下工程师数据配置工程师调测工稈师●网络监控工程师系统维护工程师符号约定在木文中可能出现卜列标志,它们所代表的含义如下符号说明表示有高度或中度潜在危险,如果不能癌免,可能会导△△△危险致人员死亡或严重伤害。表示有低度潜在危险,如果不能避免,可能导致人员轻蓍告微或中等伤害。表示有潜在风险,如果不能避免,可能会导致设备损注意坏、数据丢失、设备性能降低或不可预知的结果0吗窍门能帮助您解决某个问题或节省您的时间说明正文的附加信息,是对正文的强调和补充。文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全前言命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表小。表示用“[]”括起来的部分在命令配置时是可选的。{x|y|….}衣示从两个或多个选项中选取个[x|y|…]表示从两个或多个选项中选取一个或者不选。Xy.表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。x|y|….表示从两个或多个选项中选取一个,多个或者不选。&<1-n表示符号&的参数可以重复1~n次。由“#”开始的行表示为注释行。接口编号约定本手册中出现的接口编号仪作示例,并不代表设备上实际具有此编号的接口,实际使用中请以设备上存在的接口编号为准。修订记录修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内谷文档版本02(201304-20)该版本的更新如下:修改344应用ACL文档版本01(2013-02-08)第一次正式发布。文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录目录前言.春命命··········命··命春····················4···········春白非非··a·················非1AAA配置…111.1AAA概述1.2设备支持的AAA特性1.3幽置采用本地方式进行认证和授权1.3.1配置本地用户1.32配置AAA方案1.33(可选)配置业务方案…1.3.4配置域4456771.3.5检查配置结果..1.4配置采用 RADIUS方式进行认证、授权和计费1.4.1配置AAA方案…1.4.2配置 RADIUS服务器模板1.4.3(可选)配置业务方案1.44配置域1.4.5检查配置结果..1.5配置采用 HWTACACS方式进行认证、授权和计费1.5.1配置AAA方案23351.5,2配置 HWTACACS服务器模板.1.53(可选)配置业务方案1.54配置域171.5.5检查配置结果.181.6维护AAA1.6.1清除AAA统计信息1.7配置举例….1.7.I配置采用 RADIUS协议进行认证和计费示例1.7.2配置采用 HWTACACS协议进行认证、授权和计费示例222NAC配置2621NAC概述22设备支持的NAC特性23缺省配置24配置802.1X认证……文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录24.1使能802.1x认证功能242(可选)配置接凵授权状态2.4.3(可选)配置接口接入控制方式244(可选)配置用户认证方式3324.5(可选)使能MAC旁路认证功能2.46(可选)配置接凵允许接入的最大802.1x认证用户数1342.4.7(可选)配置802.1x认证的定时器2.48(可选)配置802.1x认证的静默功能.24.9(可选)配置对802.1x认证用户进行重认证…∴…………13624.10(可选)配置802.1x在线用户握手功能2.4.11(可选)配置向用户发送认证请求报文的最大次数2.412(可选)配置802.1x认证的 Guest VLaN2.4.13(可选)配置允许DHCP报文触发802.1x认证3924.l4检配置结果.…2.5配置MAC认证……2.5.1使能MAC认证功能252(可选)配置用户名形式.2.53(可选)配置用户认证域.…2.5.4(可选)配置接口允许接入的最人MAC认证用户数2.55(可选)配置MAC认证定时器2.5.6(可选)配置对MAC认证用户进行重认证432.57(可选)配置MAC认证的 Guest Vlan2.58检查配置结果.…2.6配置 Portal认证452.6.1配置 Portal服务器参数.452.62使能 Portal认证功能.2.6.3(可选)配置与 Porta服务器信息交互参数2.6.4(可选)配置 Portal认证静默功能72.6.5检查配置结果.27维护NAC.2.7.1清除802.1x认证统计信息……482.72清除MAC认证统计信息482.8配置举例2.8.1配置802.1x认证示例2.8.2配置MAC认证示例283置 Portal认证示例.533ACL配置5631ACL概述…3.2设备支持的ACL特性3.3缺省配置88034配置基本ACI603.4.1(可选)配置规则生效时间段……文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录342创建基本ACL3.4.3配置基本ACL的规则344应用△CL.62345检查配置结果633.5配置高级ACL.…3.5.1(可选)配置规则生效间段….…..…着.63352创建高级ACL3.53配置高级ACL的规则.643.54应用ACL*+++663.55检查配置结果3.6配置二层ACL3.6.1(可选)配置规则生效时间段.3.62创建二层ACL3.63配置二层ACL的规则3.6.4应用ACL3.6.5检查配置结果.3.7配置用户自定义ACL…693.7.1(可选)配置规则生效时问段.“““+““““““++“693.72创建用户自定义ACL3.7.3配置用户自定义ACL的规则374应用ACL713.7.5检査配置结果38配置基本ACI63.8.1(可选)配置规则生效间段…723.82创建基本ACL6723.8.3配置基本ACL6的规则33.8.4应用ACL733.8.5检查配置结果.743.9配置高级ACL6.7439.1(可选)配置规则生效时间段.392创建高级ACL675393配置高级ACL6的规则…3.94应用ACL739.5检查配置结果.773.10维护ACL783.10.清除AClL的统计信息783.10.2杏看ACL的资源信息3.11配置举例.783.1.1应用基本ACL配置FTP服务器访问权限示例….783112应用高级ACL配置流分类示例…3.11.3应用二层ACL配置流分类示例43.114应用用户自定义ACL配置流分类示例.86文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录3.11.5配置ACL6控制FTP用户访问小例83.12常见配置错误3.12.1用户自定义ACL规则配置不合理导致无法匹配需要的报文4 DHCP Snooping配置4 DHCP Snooping概述…9342设备支持的 DHCP Snooping特性…43缺省置.9444配置 DHCP Snooping的基本功能9544(能 DHCP Snooping功能954.42配置接凵信任状态964.4.3(可选)配置ARP与 DHCP Snooping的联动功能4.44(可选)配置用户下线后及时清除对应MAC表项功能4.4.5检查配置结果.974.5配置 DHCP Snooping的攻击防范功能4.5.配置防止 DHCP Server仿胃者攻击+++·984.52配置防止非DHCP用户攻击984.53配置防止DHCP报文泛洪攻击4.54配置防止仿冒DHCP报文攻击.1014.55配置防止 DHCP Server服务拒绝攻击1024.56检查配置结果46配置在DHCP报文中添加 Option82字段1044.7配置在 DHCPV6报文中添加Opon8或 Option37字段10548维护 DHCP Snooping10648.1清除 DHCP Snooping的统计信息10648.2清除 DHCP Snooping动态绑定表48.3备份 DHCP Snooping绑定表1079配置举例1074.9.1配置 DHCP Snooping的攻击防范功能示例1074.10常见配置错误.111410.1 DHCP Snooping导致用户无法上线1115本机防攻击配置.1135.1本机防攻击概述11552设备支持的本机防攻击特性….1165.3缺省阳置.∴11754配置攻击溯源.185.4.1创建防攻击略5.42配置攻击溯源检査阈值54.3配置攻击溯源的采样比1205.44配置攻击溯源告警功能.120545应用防攻击簧略.12l5.4.6检查配置结果…121文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录5.5配置CPU防攻击(S2710SI、S2700-52P-EI、S2700-52P-PWR-EI和S3700)…12155.1创建防攻击簧略122552配置黑名单…5.53配置上送CPU报文的分类限速上送规则..1225.54配置协议报文上送CPU的队列号124555应用防攻击簧略1255.56检查配置结果12556配置CPU防攻击(S2700S和除S2700-52P-EI、S2700-52P- PWR-EI以外的S2700EI系列产品)1255.7配置ARP报文防攻击功能..12758维护本机防攻击.1275.8.1清除攻击溯源信息1275.82清除上送CPU报文统计信息..…….12859配置举例.1285.9.1配置本机防攻击示例..12810常见配置错误…..1315.10.1协议报文没有上送CPU.1316IPSG配置…13261IPSG概述13362配置注意事项.1136.3缺省配置.…13464配置IPSG…13464.1配置绑定表1356.42配置IP报文检查功能.1366.4.3(可选)配置P报文检查告警功能1376.4.4〈可选)配置丢弃源IP地址与日的IP地址相同的I报文….….…13864.5检査配置结果.65配置举例.1396.5.1酤置IPSG示例.7ARP安全配置‘‘白a白444·‘‘4·.a44·4·4..在441417.1ARP安全概述7.2设备支持的ARP安全特性.7.3缺省配置1457.4配置防ARP泛洪攻击1467.4.配置ARP报文限速(根据源IP地址)147742配置ARP报文限速(针对全局、VLAN和接口).1477.4.3配置 ARP Miss消息限速(根据源IP地止)…1487.44配置 ARP Miss消息限速(针对全局、VLAN和接凵).14974.5配置临时ARP表项的老化时间1507.4.6置ARP表项严格学习.1517.47配置基于接口的ARP表项限制文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司S2700&S3700系列以太网父换机置指南-安全日录7.4.8检查配置结果.1527.5配置防ARP欺骗攻击.1537.5.1配置ARP表项圖化1537.52配置动态ARP检测…154753配置ARP防网关冲突1557.54配置发送ARP免费报文…7.55配置ARP报文合法性检查7.5.6配置ΔRP表项严格学习1577.57配置DHCP触发ARP学习1587.58检查配置结果1597.6维护ARP安全…1597.6.监控ARP安全运行情况1597.6.2清除ARP安仝统计信息1607.63配置对潜在的ARP攻击行为发送告警16077配置举例1607.71配置ARP安全综合功能示例1617.7.2配置防止ARP中间人攻击示例1648MFF配置.1688.1MFF概述16982设备支持的MFF特性1698.3缺省配置….17084配置MHF1718.4.1使能全局MFF功能……171842配置MFF的网络接口17184.3使能VLAN内的MFF功能844(可选)配置静态网关地址17284.5(可选)使能网关定时探测功能.1738.4.6(可选)配置网络中部署的服务器IP地址173847(可选)配置透传网关探测用户状态的报文17384.8(可选)配置IPⅴ6报文隔离功能1748.4.9(可选)配置丢弃用户侧的 IGMP query报文….17484.10检查配置结果.1758.5配置举例.17585.1配置MFF功能的示例1758.6常见配置错误1798.6.1配置MFF功能后用户不能上网……1799流量抑制及风暴控制配置..18391流量抑制及风暴控制概述18492设备支持的流量抑制及风暴控制特性……1849.3缺省配置1849.4配置流量抑制185文档版本02(2013-04-20)华为专有和保密信息版权所有c华为技术有限公司