No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Configuración de servicio de AS

Configuración de servicio de AS

Consulte Limitaciones del despliegue del servicio de SVF para conocer los servicios admitidos por AS y los modos de entrega del servicio.

Figura 4-30  Entrega las configuraciones a los puertos de AS al principal mediante los perfiles de servicio
En un sistema SVF mostrado en Figura 4-30, puede configurar los perfiles de servicio en el principal para entregar las configuraciones de servicio a los AS después de los siguientes pasos:
  1. Cree grupos de puertos y agregue puertos de AS en los grupos de puertos. Cada grupo de puertos es un conjunto de puertos, que están conectados a los usuarios con las mismas características de servicio.
  2. Cree perfiles de servicio. Cada perfil de servicio es un conjunto de servicios que se entregarán.
  3. Vincule los perfiles del servicio a los grupos de puertos.
  4. Confirme las configuraciones en el principal para que los servicios se puedan entregar automáticamente a los AS.
Al configurar servicios para AS a través de los grupos de puertos, solo necesita prestar atención a los puertos de usuario en los AS. Si necesitan configurar los servicios de puertos de matriz manualmente depende de los escenarios de red:
  • Cuando el principal se conecta directamente a los AS, se generarán automáticamente las configuraciones de servicio de los puertos de matriz en el principal y los AS de acuerdo con las configuraciones de servicio de los puertos de usuario.
  • Cuando el principal está conectado a los AS a través de una red intermedia, necesita configurar los servicios para el puerto de matriz del principal.

En un sistema SVF, los AS tienen las siguientes configuraciones de servicio:

Configuración de partición de red de usuario de acceso

Durante la partición de la red del usuario de acceso, debe agregar los puertos de usuario a las VLAN.

En una red de campus, puede clasificar los usuarios en función de los departamentos y configurar los mismos servicios para el mismo tipo de usuarios. Los puertos AS están conectados directamente a los usuarios, por lo que puede agregar los puertos de AS conectados al mismo tipo de usuarios al mismo grupo de puertos. Esta operación simplifica la configuración del puerto y reduce en gran medida la carga de trabajo de configuración. Al configurar un grupo de puertos, preste atención a lo siguiente:

  • Al configurar los grupos de puertos, asegúrese de que los grupos de puertos cumplan con las especificaciones enumeradas en Tabla 4-26.

    Tabla 4-26  Especificaciones del grupo de puertos

    Tipo de grupo de puertos

    Cantidad máxima de los grupos de puertos admitidos por un sistema SVF

    Restricciones en los puertos de AS y grupos de puertos

    Grupo de puertos conectado directamente a los usuarios

    256

    Se pueden agregar los puertos en un AS por lo máximo a dieciséis grupos de puertos de usuario directamente conectados.

  • Usuario de cada AS pueden tener por lo máximo 1 VLAN predeterminada, 1 VLAN de voz y 32 VLAN permitidas.
  • No se pueden configurar los puertos de usuario en un AS como puertos de miembro de Eth-Trunk.

Configuración de autenticación para usuario de acceso

NOTA:

Si no es necesario autenticar a los usuarios de acceso, omita esta sección.

En un sistema SVF mostrado en Figura 4-31, el principal funciona como el punto de autenticación de control de acceso para todos los usuarios, por lo que los servicios del servidor de autenticación solo necesitan configurarse en el principal por una vez, lo que simplifica el despliegue. Los puntos de aplicación de control de acceso de todos los usuarios se despliega en los AS. Para garantizar la seguridad, los usuarios que fallan la autenticación no pueden acceder a los AS.

Figura 4-31  Punto de autenticación y puntos de aplicación para el control de acceso

Un sistema SVF admite tres modos de autenticación para usuario de acceso: MAC, 802.1X y Portal. Tabla 4-27 enumera las características y los escenarios de aplicación de los tres modos de autenticación.

Tabla 4-27  Características y escenarios de aplicación de los modos de autenticación

Modo de autenticación

Características

Escenario aplicable

MAC

  • No es necesario instalar ningún software de cliente.
  • Los usuarios no necesitan introducir nombres de usuario y contraseñas cuando inician sesión en la red.
  • Las direcciones MAC de todos los usuarios deben ser configurados, lo que complica las configuraciones.

Las terminales tontas, como impresoras y máquinas de fax, necesitan conectarse a la red.

802.1X

  • El software del cliente 802.1X necesita ser instalado.
  • Se pueden configurar los nombres de usuario fáciles de recordar.
  • Los usuarios deben introducir los nombres de usuario y las contraseñas cuando inicien sesión en la red.

La red está recién construida, los usuarios están densamente distribuidos y se requiere una alta seguridad de la información.

Portal

  • No es necesario instalar ningún software de cliente.
  • Se pueden configurar los nombres de usuario fáciles de recordar.
  • Los usuarios deben introducir los nombres de usuario y las contraseñas cuando inicien sesión en la red.

Los usuarios están escasamente distribuidos o se mueven libremente.

Un sistema SVF solo admite una combinación de modos de autenticación. La combinación puede contener uno o más modos de autenticación de MAC, 802.1X y Portal según los requisitos del escenario.

  • Acceda al modo de autenticación de terminal
    Tabla 4-28  Modos de autenticación recomendados en un escenario de autenticación de terminal de acceso

    Escenario

    Características del escenario

    Terminal típico

    Modo de autenticación recomendado

    Notas

    Red de la oficina del campus

    • La red está cerrada, los usuarios cambian sus ubicaciones raras veces y se requiere una gran seguridad.
    • La ubicación de algunos ordenadores portátiles puede cambiar. Por ejemplo, estes ordenadores portátiles se mueven de las oficinas a las salas de reuniones o se mueven entre los departamentos.
    • Existen algunas terminales tontas como impresoras.

    Ordenadores portátiles e impresoras

    802.1X

    • Configure las terminales tontas tales como impresoras como los usuarios estáticos en el principal.
    • Configure la autenticación 802.1X en todos los puertos AS a los que están conectados los terminales de acceso.
    • Utilice el reenvío centralizado de tráfico de usuarios y UCL para implementar el aislamiento de usuarios entre departamentos.

    Institución educativa

    • La red está cerrada y los terminales están densamente distribuidos.
    • Las ubicaciones de los terminales cableados cambian raras veces y la comunicación entre los usuarios locales generalmente no necesita ser restringida.

    Ordenadores portátiles

    Portal

    Si los terminales necesitan aislarse, use el reenvío centralizado. De lo contrario, use el reenvío distribuido para mejorar la eficiencia de reenvío del ancho de banda.

  • Precauciones para configurar la autenticación del terminal de acceso

    1. No se recomienda configurar la combinación de los modos de autenticación de MAC y 802.1X (o Portal). Si se configura dicha combinación, el rendimiento de acceso concurrente se reduce para los terminales que requieren la autenticación 802.1X cuando el sistema realiza primero la autenticación MAC en estos terminales.
    2. Cuando se configura la autenticación del portal, no se admite el servidor del portal incorporado.
    3. Los terminales no pueden enviar los paquetes de DHCPv6 y de descubrimiento de vecinos (ND) para activar la autenticación.
    4. Cuando las reglas sin autenticación están configuradas en el principal, el principal entrega las reglas sin autenticación dentro del rango especificado a todos los AS. Por ejemplo, el principal puede entregar reglas sin autenticación 0 a 127 para los AS del modelo de S5320EI o S5720EI y 0 a 31 para los AS de otros modelos de switches. Las reglas sin autenticación entregadas a los AS no llevan información de interfaz.
    5. En un sistema SVF, los derechos de acceso a la red antes de que los usuarios pasen la autenticación NAC pueden autorizarse mediante las reglas sin autenticación, pero no un grupo UCL.
  • Precauciones para autorizar los terminales de acceso
    • En un sistema SVF, las VLAN no se pueden asignar a usuarios cableados.

Configuración de seguridad

Escenarios de ataque comunes en la red del campus

Se usan las configuraciones de seguridad para proteger un sistema SVF contra varios ataques. Los ataques comunes en una red de campus incluyen ataques en el plano de control y el plano de reenvío. Tabla 4-29 enumera los tipos de ataques y sus impactos en la red del campus.

Tabla 4-29  Tipos de ataque y escenarios

Tipo de ataque

Subtipo de ataque

Impacto

Ataque en el plano de control

Ataque ARP con dirección MAC de fuente fija

Se vuelve alto el uso de la CPU del principal y se interrumpe el tráfico de algunos usuarios.

Ataque ARP con una dirección IP de fuente fija

Ataque ARP desde gateways falsos

Se generará una gran cantidad de alarmas de colisión de gateway en el principal.

Ataque de gateway de ARP spoofing (suplantación de ARP)

Los usuarios no pueden acceder a la red.

Ataque de ARP flooding (Inundación de ARP)

Los usuarios no pueden aprender las entradas de ARP e incluso no pueden acceder a la red.

Ataque del servidor DHCP falso

Los usuarios no pueden obtener las direcciones IP esperadas.

Ataque de DHCP flooding (inundación de DHCP)

Cuando los terminales no están autenticados, los usuarios no pueden obtener las direcciones IP.

Ataque en el plano de reenvío

Ataque de ARP Miss con dirección IP de fuente fija

El principal tiene un uso alto de CPU y no puede aprender las entradas de ARP.

Ataque de paquete IP con la dirección IP del dispositivo como la dirección IP de destino

El uso de la CPU del principal se vuelve alto. Se produce una pérdida de paquetes o se interrumpe el reenvío de tráfico cuando el principal hace ping al gateway. El principal responde lentamente durante un inicio de sesión de Telnet al principal. No se pueden procesar de manera oportuna los paquetes IP de unidifusión de protocolos como BGP y LDP, lo que impide que estos protocolos funcionen normalmente.

Ataque DDoS

Los puertos del enlace ascendente están congestionados y el tráfico del usuario se interrumpe.

Métodos y recomendaciones de defensa de ataque

En un sistema SVF, los AS se conectan a los terminales y los puertos de AS se conectan directamente a los terminales. Por defecto, se han desplegado algunas medidas de seguridad del dispositivo en un sistema SVF. Por ejemplo, se ha configurado la limitación de velocidad de paquete en la dirección entrante o saliente de los puertos de AS. También puede ejecutar comandos para realizar configuraciones de seguridad en los puertos a los que están conectados los terminales.

Tabla 4-30 enumera los métodos y recomendaciones para la defensa de ataque.

Tabla 4-30  Métodos y recomendaciones para la defensa de ataque

Tipo de ataque

Subtipo de ataque

Método para defensa de ataque utilizado cuando los terminales necesitan ser autenticados Método para defensa de ataque utilizado cuando los terminales no necesitan ser autenticados

Ataque en el plano de control

Ataque ARP con dirección MAC de fuente fija

Se ha admitido la defensa automática contra los ataques de paquete ARP.

Configure la limitación de la tasa de paquetes ARP en los puertos AS.

Ataque ARP con una dirección IP de fuente fija

Ataque ARP desde gateways falsos

Configure la función de anticolisión del gateway ARP en el principal.

Ataque de gateway de ARP spoofing

Establezca el modo de reenvío en el reenvío centralizado.

Ataque de ARP flooding

Se habilita automáticamente la función de ARP anti-flooding en la dirección saliente de los AS. Por lo tanto, los ataques de ARP flooding solo pueden afectar a los AS atacados. Configure la limitación de velocidad para los paquetes ARP entrantes en los puertos AS a los que se conectan los terminales después de identificar las fuentes de ataque.

Ataque del servidor DHCP falso

Ninguna

Configure DHCP snooping en AS.

Ataque de DHCP flooding

Habilite la función de DHCP anti-flooding en la dirección saliente de los AS automáticamente. Por lo tanto, los ataques de ARP flooding solo pueden afectar a los AS atacados. Configure la limitación de velocidad para los paquetes DHCP entrantes en los puertos AS a los que se conectan los terminales después de identificar las fuentes de ataque.

Ataque en el plano de reenvío

Ataque de ARP Miss con dirección IP de fuente fija

Configure la limitación de velocidad para los paquetes de ARP Miss en el principal para limitar los paquetes en función de la dirección IP de origen.

Ataque de paquete IP con la dirección IP del dispositivo como dirección IP de destino

Configure una lista negra en el principal.

Ataque DDoS

Configure la limitación de velocidad, difusión, multidifusión y supresión de tráfico de unidifusión desconocido en los puertos.

Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15510

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente