13安全典型配置13.1配置ACL13.1.1使用ACL限制FTP访问权限示例13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例13.1.3使用ACL禁止特定用户上网示例13.1.4使用自反ACL实现单向访问控制示例13.1.5配置特定时间段允许个别用户上网示例13.1.6使用ACL限制不同网段的用户互访示例13.1.7使用ACL限制内网主机访问外网网站示例13.1.8使用ACL限制外网用户访问内网中服务器的权限示例13.1.9SNMP中应用ACL过滤非法网管示例13.2配置ARP安全13.2.1配置ARP安全综合功能示例13.2.2配置防止ARP中间人攻击示例13.3配置DHCPSnooping13.3.1配置DHCPSnooping防止DHCPServer仿冒者攻击示例13.4IPSG配置13.4.1配置IPSG防止静态主机私自更改IP地址示例13.4.2配置IPSG防止DHCP动态主机私自更改IP地址示例13.4.3配置IPSG限制非法主机访问内网示例(静态绑定)13.5配置端口安全示例13安全典型配置13.1配置ACL13.2配置ARP安全13.3配置DHCPSnooping13.4IPSG配置通过示例介绍IPSG如何防止主机私自更改IP地址,提供组网图、配置步骤和配置文件等。13.5配置端口安全示例13.1配置ACL13.1.1使用ACL限制FTP访问权限示例ACL简介访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。配置注意事项本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到明文密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低。本举例适用于S系列交换机所有产品的所有版本。组网需求如图13-1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。其他用户不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。图13-1使用基本ACL限制FTP访问权限组网图操作步骤配置时间段HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]time-rangeftp-accessfrom0:02014/1/1to23:592014/12/31//配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段[Switch]time-rangeftp-access14:00to18:00off-day//配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACL[Switch]aclnumber2001[Switch-acl-basic-2001]rulepermitsource172.16.105.00.0.0.255//允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器[Switch-acl-basic-2001]rulepermitsource172.16.107.00.0.0.255time-rangeftp-access//限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器[Switch-acl-basic-2001]ruledenysourceany//限制其他用户不可以访问FTP服务器[Switch-acl-basic-2001]quit配置FTP基本功能[Switch]ftpserverenable//开启设备的FTP服务器功能,允许FTP用户登录[Switch]aaa[Switch-aaa]local-userhuaweipasswordirreversible-cipherSetUesrPasswd@123//配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码[Switch-aaa]local-userhuaweiprivilegelevel15//配置FTP用户的用户级别[Switch-aaa]local-userhuaweiservice-typeftp//配置FTP用户的服务类型[Switch-aaa]local-userhuaweiftp-directorycfcard://配置FTP用户的授权目录,在盒式交换机上需配置为flash:[Switch-aaa]quit配置FTP服务器访问权限[Switch]ftpacl2001//在FTP模块中应用ACL验证配置结果在子网1的PC1(172.16.105.111/24)上执行ftp172.16.104.110命令,可以连接FTP服务器。2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:00在子网2的PC2(172.16.107.111/24)上执行ftp172.16.104.110命令,可以连接FTP服务器。在PC3(10.10.10.1/24)上执行ftp172.16.104.110命令,不能连接FTP服务器。配置文件Switch的配置文件#sysnameSwitch#FTPserverenableFTPacl2001#time-rangeftp-access14:00to18:00off-daytime-rangeftp-accessfrom00:002014/1/1to23:592014/12/31#aclnumber2001rule5permitsource172.16.105.00.0.0.255rule10permitsource172.16.107.00.0.0.255time-rangeftp-accessrule15deny#aaalocal-userhuaweipasswordirreversible-cipher%^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g'e0baw#%^%#local-userhuaweiprivilegelevel15local-userhuaweiftp-directorycfcard:local-userhuaweiservice-typeftp#return13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例ACL简介访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。配置注意事项本举例适用于S系列交换机所有产品的所有版本。组网需求如图1所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。图13-2使用ACL限制用户在特定时间访问特定服务器的权限组网图配置思路采用如下的思路在Switch上进行配置:配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。配置流行为,拒绝匹配上ACL的报文通过。配置并应用流策略,使ACL和流行为生效。操作步骤配置接口加入VLAN,并配置VLANIF接口的IP地址#将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF20、VLANIF30和VLANIF100的配置与VLANIF10接口类似,不再赘述。HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]vlanbatch102030100[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]portlink-typetrunk[Switch-GigabitEthernet1/0/1]porttrunkallow-passvlan10[Switch-GigabitEthernet1/0/1]quit[Switch]interfacevlanif10[Switch-Vlanif10]ipaddress10.164.1.1255.255.255.0[Switch-Vlanif10]quit配置时间段#配置8:00至17:30的周期时间段。[Switch]time-rangesatime8:00to17:30working-day//配置ACL生效时间段,该时间段是一个周期时间段配置ACL#配置市场部门到工资查询服务器的访问规则。[Switch]acl3002[Switch-acl-adv-3002]ruledenyipsource10.164.2.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止市场部在satime指定的时间范围内访问工资查询服务器[Switch-acl-adv-3002]quit#配置研发部门到工资查询服务器的访问规则。[Switch]acl3003[Switch-acl-adv-3003]ruledenyipsource10.164.3.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止研发部在satim