所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
路由器转发面安全防御能力

路由器转发面安全防御能力

NE40E转发平面,为了保障路由器的CPU系统能够正常运行,提供了如下的安全防御能力:

  • ACL访问控制列表
  • URPF(Unicast Reverse Path Forwarding)
  • DHCP Snooping

ACL访问控制列表

访问控制列表是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过规则对数据包进行分类,这些规则应用到路由设备上,路由设备根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。

例如可以用访问列表描述:拒绝任何用户终端使用Telnet登录本机。允许每个用户终端经由SMTP向本机发送电子邮件。

每个ACL中可以定义多个规则,根据规则的功能分为接口ACL规则、基本ACL规则和高级ACL规则。ACL规则是一个匹配选项的集合,由用户根据不同业务进行选择配置。

ACL(Access Control List)的类型划分方式有两种,如下表所示:

表6-1  ACL类型划分方式

ACL类型划分依据

ACL类型

按照对IPv4和IPv6的支持情况

  • ACL4
  • ACL6

按照ACL规则的功能

  • 接口ACL:限制数据包“允许”或“拒绝”通过接口。数字范围是1000~1999,即支持1000个接口ACL。
  • 基本ACL:限制数据包的源地址。数字范围是2000~2999,即支持1000个基本ACL。
  • 高级ACL:限制数据包的源地址、目的地址、协议号(TCP、UDP)、源端口和目的端口号的五元组。

    包括数字型高级ACL和命名型ACL:

    • 数字型高级ACL的编号范围是3000~3999,即支持1000个数字型高级ACL。
    • 命名型ACL的编号范围是42768~75535,即支持32768个命名型ACL。
  • MPLS ACL:限制MPLS报文的Exp值、label值、TTL值。编号范围是10000~10999,即支持1000个MPLS ACL。

根据ACL功能划分的四种类型ACL,分别支持的过滤选项如下表:

表6-2  不同类型ACL所支持的过滤选项

ACL规则类型

支持的过滤选项

接口ACL

接口名:指定数据包是从该接口进入的。或者用“any”代表所有的接口。

生效时间段:指定规则生效的时间范围。如果不配置,表示规则配置后马上生效。

基本ACL

源IP地址:指定ACL规则的源地址信息。如果不配置,表示任何源地址的报文都匹配。

生效时间段:指定规则生效的时间范围。如果不配置,表示规则配置后马上生效。

高级ACL

协议类型:用名字或数字表示的协议类型。如果用整数形式,取值范围是1~255;如果用字符串形式,可以选取:gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。对不同的协议类型,有不同的参数组合,TCP和UDP有源端口和目的端口可选项,其它协议类型没有。

源IP地址:指定ACL规则的源地址信息。如果不配置,表示报文的任何源地址都匹配。

目的IP地址:指定ACL规则的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。

源端口和目的端口:指定UDP或者TCP报文的目的端口信息,仅仅在规则指定的协议号是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配。

DSCP:指定区分服务代码点(Differentiated Services Code Point,IP头ToS字段的高6位)的取值,取值范围是0~63。

分片报文类型:指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。

优先级:数据包可以依据优先级字段(IP包ToS字段的高3位)进行过滤。用关键字或数字表示,数字的取值范围是0~7的整数。

TCP flag:指定TCP-FLAG的值,取值范围是0~63。

ToS:数据包可以依据服务类型字段进行过滤。

ICMP:ICMP包可以依据ICMP的消息名称、消息类型或消息码进行过滤,仅仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。

生效时间段:指定规则生效的时间范围。如果不配置,表示规则配置后马上生效。

MPLS ACL

MPLS报文的Exp值。如果不配置,表示Exp为任何值的MPLS报文都匹配。

MPLS报文的label值。如果不配置,表示label为任何值的MPLS报文都匹配。

MPLS报文的TTL值。如果不配置,表示TTL为任何值的MPLS报文都匹配。

URPF

URPF(Unicast Reverse Path Find)是单播反向路径检查的缩写,分为严格模式和松散模式,其原理是数据报文从网络接口进入到NP,对于三层IP报文,查找路由表FIB,如果是本机路由则转发CP处理,在转发之前需要做URPF检查,检查数据报文的源IP地址是否合法,检查的原理是根据数据包的源IP地址查路由表。

支持配置检查模式为严格模式和松散模式,以及允许匹配缺省路由的方式。

  • 对于严格模式:如果报文能匹配明细路由,并且入接口跟匹配路由的出接口一致,则允许报文转发,否则丢弃报文。
  • 对于松散模式:如果报文匹配上明细路由,则允许报文转发,否则丢弃报文。默认情况下,会认为缺省路由不存在,不会去匹配缺省路由,只有进行了配置后,才会去匹配缺省路由。

对允许匹配缺省路由的模式,必须和严格模式一起配置,报文匹配明细路由或者缺省路由,并且报文入接口跟匹配路由的出接口一致才转发,否则丢弃。松散模式和严格模式互斥,只能配置一种模式。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:3928

下载量:119

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页