所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RIP应用Keychain认证示例

配置RIP应用Keychain认证示例

组网需求

图14-8所示,网络中SwitchA和SwitchB通过RIP-2实现互通。

要求在数据传输过程中,RIP连接始终稳定,不会因为非法用户的攻击而断开连接。

图14-8  RIP应用Keychain认证组网图

配置思路

为了保证RIP连接稳定,需要保证RIP协议数据能够稳定正确的传输,建议采用认证和加密的方法,保证RIP协议数据传输的安全性。同时为了防止非法用户通过非法手段窃取认证和加密的算法和密钥,建议采用动态更改认证加密算法和密钥的方法实现RIP数据协议传输的安全。综上,采用Keychain协议来保证RIP连接的稳定。

采用如下思路配置Keychain对RIP协议进行保护:

  1. 配置RIP基本功能。

  2. 配置Keychain功能。

  3. 配置RIP应用Keychain。

操作步骤

  1. 配置RIP基本功能

    # 配置SwitchA。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] rip 1
    [SwitchA-rip-1] version 2
    [SwitchA-rip-1] network 192.168.1.0
    [SwitchA-rip-1] quit

    # 配置SwitchB。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] rip 1
    [SwitchB-rip-1] version 2
    [SwitchB-rip-1] network 192.168.1.0
    [SwitchB-rip-1] quit

  2. 配置Keychain功能

    # 配置SwitchA。

    [SwitchA] keychain huawei mode absolute
    [SwitchA-keychain-huawei] receive-tolerance 100
    [SwitchA-keychain-huawei] key-id 1
    [SwitchA-keychain-huawei-keyid-1] algorithm hmac-sha-256
    [SwitchA-keychain-huawei-keyid-1] key-string cipher Huawei@1234
    [SwitchA-keychain-huawei-keyid-1] send-time 0:00 2016-01-01 to 23:59 2016-05-01
    [SwitchA-keychain-huawei-keyid-1] receive-time 0:00 2016-01-01 to 23:59 2016-05-01
    [SwitchA-keychain-huawei-keyid-1] default send-key-id
    [SwitchA-keychain-huawei-keyid-1] quit
    [SwitchA-keychain-huawei] quit

    # 配置SwitchB。

    [SwitchB] keychain huawei mode absolute
    [SwitchB-keychain-huawei] receive-tolerance 100
    [SwitchB-keychain-huawei] key-id 1
    [SwitchB-keychain-huawei-keyid-1] algorithm hmac-sha-256
    [SwitchB-keychain-huawei-keyid-1] key-string cipher Huawei@1234
    [SwitchB-keychain-huawei-keyid-1] send-time 0:00 2016-01-01 to 23:59 2016-05-01
    [SwitchB-keychain-huawei-keyid-1] receive-time 0:00 2016-01-01 to 23:59 2016-05-01
    [SwitchB-keychain-huawei-keyid-1] default send-key-id
    [SwitchB-keychain-huawei-keyid-1] quit
    [SwitchB-keychain-huawei] quit

  3. 配置RIP应用Keychain

    # 配置SwitchA。

    [SwitchA] vlan 10
    [SwitchA-vlan10] quit
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type hybrid
    [SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
    [SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface vlanif 10
    [SwitchA-Vlanif10] ip address 192.168.1.1 24
    [SwitchA-Vlanif10] rip authentication-mode hmac-sha256 cipher huawei 1
    [SwitchA-Vlanif10] quit
    [SwitchA] quit

    # 配置SwitchB。

    [SwitchB] vlan 10
    [SwitchB-vlan10] quit
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type hybrid
    [SwitchB-GigabitEthernet0/0/1] port hybrid pvid vlan 10
    [SwitchB-GigabitEthernet0/0/1] port hybrid untagged vlan 10
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface vlanif 10
    [SwitchB-Vlanif10] ip address 192.168.1.2 24
    [SwitchB-Vlanif10] rip authentication-mode hmac-sha256 cipher huawei 1
    [SwitchB-Vlanif10] quit
    [SwitchB] quit

  4. 验证配置结果

    # 执行命令display keychain keychain-name命令,查看Keychain中Key-id的当前状态,如下所示:

    <SwitchA> display keychain huawei
     Keychain Information:
     ---------------------
     Keychain Name             : huawei
       Timer Mode              : Absolute
       Time Type               : Lmt
       Receive Tolerance(min)  : 100
       TCP Kind                : 254
       TCP Algorithm IDs       :
         HMAC-MD5              : 5
         HMAC-SHA1-12          : 2
         HMAC-SHA1-20          : 6
         HMAC-SHA-256          : 7
         SHA-256               : 8
         MD5                   : 3
         SHA1                  : 4
     Number of Key IDs         : 1
     Active Send Key ID        : 1
     Active Receive Key IDs    : 01
     Default send Key ID       : 1
     Default send Key Status   : Inactive
    
    
     Key ID Information:
     -------------------
     Key ID                    : 1
       Key string              : ******
       Algorithm               : HMAC-SHA-256
       SEND TIMER              :
         Start time            : 2016-01-01 00:00
         End time              : 2016-05-01 23:59
         Status                : Active
       RECEIVE TIMER           :
         Start time            : 2016-01-01 00:00
         End time              : 2016-05-01 23:59
         Status                : Active
    

    # RIP应用Keychain配置成功后,可以执行命令display rip process-id interface verbose,查看RIP报文的认证方式。以SwitchA为例。

    <SwitchA> display rip 1 interface verbose
     Vlanif10(192.168.1.1)
      State           : UP          MTU    : 500
      Metricin        : 0
      Metricout       : 1
      Input           : Enabled     Output : Enabled
      Protocol        : RIPv2 Multicast
      Send version    : RIPv2 Multicast Packets
      Receive version : RIPv2 Multicast and Broadcast Packets
      Poison-reverse                : Disabled
      Split-Horizon                 : Enabled
      Authentication type           : SHA256 (HMAC - Password)
         Last Sequence Number Sent  : 0x0
      Replay Protection             : Disabled
    

配置文件

  • SwitchA的配置文件

    #
    sysname SwitchA
    #
    vlan batch 10
    #
    keychain huawei mode absolute
     receive-tolerance 100
     key-id 1
      algorithm hmac-sha-256
      key-string cipher %^%#Vj-D<jJ%aNGasyD!w#hVP]6xEn`_l(7bf6%m;P3P%^%# 
      send-time 00:00 2016-01-01 to 23:59 2016-05-01
      receive-time 00:00 2016-01-01 to 23:59 2016-05-01
      default send-key-id 
    #
    interface Vlanif10
     ip address 192.168.1.1 255.255.255.0
     rip authentication-mode hmac-sha256 cipher %^%#*@UfXt!vp3dob9:(f5V;{PO1/:#Fd"9P<6*aJ{lJ%^%# 1
    #
    interface GigabitEthernet0/0/1
     port link-type hybrid
     port hybrid pvid vlan 10
     port hybrid untagged vlan 10
    #
    rip 1
     version 2
     network 192.168.1.0
    #
    return
  • SwitchB的配置文件

    #
    sysname SwitchB
    #
    vlan batch 10
    #
    keychain huawei mode absolute
     receive-tolerance 100
     key-id 1
      algorithm hmac-sha-256
      key-string cipher %^%#Dvqg<X&x>"h`1&Q\1RAT>0\TVnbc<FJyVlAy=p<#%^%#
      send-time 00:00 2016-01-01 to 23:59 2016-05-01
      receive-time 00:00 2016-01-01 to 23:59 2016-05-01
      default send-key-id
    #
    interface Vlanif10
     ip address 192.168.1.2 255.255.255.0
     rip authentication-mode hmac-sha256 cipher %^%#*@UfXt!vp3dob9:(f5V;{PO1/:#Fd"9P<6*aJ{lJ%^%# 1
    #
    interface GigabitEthernet0/0/1
     port link-type hybrid
     port hybrid pvid vlan 10
     port hybrid untagged vlan 10
    #
    rip 1
     version 2
     network 192.168.1.0
    #
    return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33517

下载量:969

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页