所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
NE20E-S2 V800R010C10SPC500 配置指南 - 系统管理 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - 系统管理

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
提高DCN网络的安全性

提高DCN网络的安全性

可以通过配置GNE的超限告警阈值和SSL认证,配置OSPF接口认证和优化所有网元的DCN路由等来提高DCN网络的安全性。

应用环境

当前设备支持多种方式来提高DCN网络的安全性:

  • 通过配置网元超限告警阈值,当GNE下挂的网元过多,超过GNE的处理能力时,会上报告警提醒用户。

  • 通过配置SSL(Secure Sockets Layer)和OSPF接口认证,可以通过加密和认证机制来提高DCN网络的安全性。

  • 通过配置OSPF的一些特性参数,可以优化DCN的路由。

  • 根据网络的业务流量调整DCN报文的优先级,可以提高网络的稳定性。
  • 通过配置DCN ACL策略,DCN报文将按照配置的ACL规则进行过滤,从而提高DCN网络的安全性。

前置任务

在配置DCN扩展功能之前,需要完成以下任务:
  • 全局使能DCN功能。

配置流程

以下配置任务(不含检查配置结果),请根据应用环境选择其中一项或几项进行配置。

  • 配置GNE的网元超限告警阈值
    通过配置网元超限告警阈值,提醒用户避免GNE的处理压力过大。
  • 在GNE上配置SSL认证
    在DCN网络中运行SSL(Secure Sockets Layer)认证协议后,只有通过SSL验证,网管才能和GNE正常通信。
  • 配置OSPF接口认证
    在DCN网络中运行OSPF协议,支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。
  • 优化DCN路由
    在DCN网络环境中,配置OSPF的一些特性功能可以对DCN网络的性能进行调整和优化。
  • 配置DCN报文的优先级
    DCN报文使用IP报文承载时,优先级较低,重新配置DCN报文的优先级后,GNE(Gateway Network Element)会按照设置的优先级在DCN域内进行转发。
  • 配置DCN ACL策略
    通过配置DCN ACL策略,DCN报文将按照配置的ACL规则进行过滤,对于不匹配的报文将会被丢弃,从而提高DCN网络的安全性。
  • 配置关闭DCN快速终结协商状态功能
    通过配置关闭DCN快速终结协商状态功能,防止故意通过终结报文攻击设备,提高设备可靠性。
  • 配置GNE与NE之间通道加密功能
    通过配置GNE与NE之间通道加密功能,防止攻击者恶意攻击,提高安全性。
  • 检查配置结果
    在完成提高DCN网络安全性配置后,通过检查配置结果可以查看配置是否生效。

配置GNE的网元超限告警阈值

通过配置网元超限告警阈值,提醒用户避免GNE的处理压力过大。

背景信息

在DCN网络中,网管可以通过GNE管理网络中的其他网元,但每个GNE的处理能力是有限的,因此当GNE下挂的网元达到一定数目的时候,需要通知网管以提醒用户。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令ne-number alarm threshold threshold,配置GNE的网元超限告警阈值。
  4. 执行命令commit,提交配置。

在GNE上配置SSL认证

在DCN网络中运行SSL(Secure Sockets Layer)认证协议后,只有通过SSL验证,网管才能和GNE正常通信。

前提条件

在配置DCN SSL功能之前,需要先配置SSL策略并加载数字证书,具体的配置步骤可参考配置绑定SSL策略。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令bind ssl-policy ssl-policy-name,绑定SSL策略。

    说明:

    绑定SSL策略后,DCN将使用策略中加载的证书完成SSL握手认证,因此需要在网管上加载正确的证书。

  4. 执行命令connect-mode { normal | security | both },设置GNE与网管的连接模式。

    • normal:普通模式,DCN的TCP连接不会进行SSL加密。

    • security:安全模式,DCN的TCP连接进行SSL加密。

    • both:普通模式和安全模式都支持。

  5. 执行命令ssl verify-mode { single | dual },配置DCN SSL的认证模式。

    • single:单端认证,只在设备侧进行SSL认证。

    • dual:双端认证,设备侧和网管侧都会进行SSL认证。

  6. (可选)执行命令ssl-auth-fail threshold-alarm report-times report-times,配置在一定时间内SSL认证失败次数的Trap上报阈值。
  7. 执行命令commit,提交配置。

配置OSPF接口认证

在DCN网络中运行OSPF协议,支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令dcn(接口视图),使能接口的DCN功能。或执行dcn mode vlan命令,使能4094子接口方式的DCN功能。
  4. 请选择如下步骤中的一种,配置接口验证方式。

    • 执行命令dcn ospf authentication-mode simple [ [ plain ] simple-plain-text | cipher simple-cipher-text ],配置OSPF接口的简单验证模式。

      说明:

      • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。

      • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

    • 执行命令dcn ospf authentication-mode { { md5 | hmac-md5 | hmac-sha256 } [ key-id { plain plain-text | [ cipher ] cipher-text } ] },配置OSPF接口的MD5(Message Digest 5)或SHA(Secure Hash Algorithm)验证模式。

      说明:

      为了保证更好的安全性,建议不要使用MD5和HMAC-MD5算法,推荐使用HMAC-SHA256算法。

    • 执行命令dcn ospf authentication-mode null,不对OSPF接口进行验证。

    同一网段的接口的验证模式和口令必须相同,不同网段可以不同。

    OSPF没有配置区域认证方式。建议配置认证方式,否则系统可能不安全。

  5. 执行命令commit,提交配置。

优化DCN路由

在DCN网络环境中,配置OSPF的一些特性功能可以对DCN网络的性能进行调整和优化。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令dcn(接口视图),使能接口DCN功能。或执行dcn mode vlan命令,使能4094子接口方式的DCN功能。
  4. 请选择如下步骤中的一种或多种,配置OSPF的特性功能。

    • 配置接口发送Hello报文的时间间隔

      执行命令dcn ospf timer hello interval,配置接口发送Hello报文的时间间隔。

    • 配置邻居路由器重传LSA(Link State Advertisement)的间隔

      执行命令dcn ospf timer retransmit interval,设置邻接路由器重传LSA的间隔。

    • 配置接口传送LSA的延迟时间

      执行命令dcn ospf trans-delay interval,配置接口传送LSA的延迟时间。

    • 配置相邻路由器失效的时间

      执行命令dcn ospf timer dead interval,设置相邻路由器失效的时间。

      OSPF邻居的失效时间是指:在该时间间隔内,若未收到邻居发送的Hello报文,就认为该邻居已失效。

    • 配置NBMA(Non-broadcast multiple access)网络中发送轮询报文的时间间隔

      执行命令dcn ospf timer poll interval,在NBMA接口上配置发送轮询报文的时间间隔。

  5. 执行命令commit,提交配置。

配置DCN报文的优先级

DCN报文使用IP报文承载时,优先级较低,重新配置DCN报文的优先级后,GNE(Gateway Network Element)会按照设置的优先级在DCN域内进行转发。

背景信息

网络中的报文都有各自的报文优先级,优先级高的报文会优先保证传输。根据网络的业务流量情况配置DCN报文的优先级:

  • 在其他报文优先级高时,降低DCN报文优先级,保证业务不丢包。

  • 在其他报文优先级低时,提高DCN报文优先级,保证网元间、网元和网管间通信。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令data-packet priority priority,配置DCN报文的优先级。
  4. 执行命令commit,提交配置。

配置DCN ACL策略

通过配置DCN ACL策略,DCN报文将按照配置的ACL规则进行过滤,对于不匹配的报文将会被丢弃,从而提高DCN网络的安全性。

前提条件

  • 已经执行acl(基本ACL)命令创建基础ACL策略并通过执行rule(基本ACL视图)命令创建基本ACL规则。
  • 已经执行acl(高级ACL)命令创建高级ACL策略并通过执行rule(高级ACL视图)命令创建高级ACL规则。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令packet-policy { acl-name acl-name | basic-number | adv-number },配置DCN ACL策略。

    DCN支持配置基本和高级ACL策略,编号为2000~2999表示是基本ACL,编号为3000~3999表示是高级ACL。

  4. 执行命令commit,提交配置。

配置关闭DCN快速终结协商状态功能

通过配置关闭DCN快速终结协商状态功能,防止故意通过终结报文攻击设备,提高设备可靠性。

背景信息

DCN PPPOE terminate报文用于通知对端快速重启会话,由于dcn协议报文没有认证,若对端故意发送terminate报文进行攻击,会导致端口dcn会话终结,设备脱管。为了解决这个问题,可以通过配置DCN PPPoE中的terminate功能关闭DCN快速终结协商状态。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令fast-terminate disable,配置DCN快速终结协商状态功能去使能。
  4. 执行命令commit,提交配置。

配置GNE与NE之间通道加密功能

通过配置GNE与NE之间通道加密功能,防止攻击者恶意攻击,提高安全性。

背景信息

由于GNE到NE之间没有采用加密DCN通道,安全性较差,容易受到攻击。通过配置GNE与NE之间通道加密功能,可以提高安全性。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dcn,进入DCN视图。
  3. 执行命令dcn encrypt neid neid authkey auth-key,配置到指定NEID的加密通道。
  4. 执行命令commit,提交配置。

检查配置结果

完成配置后,可以按以下指导来检查配置结果。

执行命令display dcn encrypt channel [ neid neid ],可以查看配置的的加密通道所处的状态。

<HUAWEI> display dcn encrypt channel
 Total Number: 2
-------------------------------------
 NEID             STATE              
-------------------------------------
 0x123123         INIT               
 0x123456         INIT               
-------------------------------------

检查配置结果

在完成提高DCN网络安全性配置后,通过检查配置结果可以查看配置是否生效。

前提条件

所有网元已经完成提高DCN安全性的配置。

操作步骤

  • 执行命令display this,查看提高DCN安全性的配置。
  • 执行命令display dcn brief,查看GNE的配置信息。

任务示例

执行命令display this,查看配置的GNE网元超限告警阈值和SSL认证信息。

[~HUAWEI-dcn] display this
#                                                                               
!The DCN function implements the capability of plug-and-play for this device.
!A NE IP address based on the unique NE ID is automatically generated in VPN
!of DCN. It is recommended that the NE IP address be changed to the planned 
!one by running the ne-ip X.X.X.X <MASK>command after the device being online.
dcn                                                                             
 ne-number alarm threshold 300                                                  
 connect-mode security                                                          
 ssl verify-mode dual                                                           
 bind ssl-policy huawei2012                                                 
#                                                                               
return

执行命令display this,查看OSPF接口认证的配置。

[~HUAWEI-interface GigabitEthernet0/1/0] display this
#                                                                               
 undo shutdown                                                                  
 dcn                                                                            
 dcn ospf authentication-mode hmac-sha256                                       
#                                                                               
return

执行命令display this,查看优化DCN路由的配置。

[~HUAWEI-interface GigabitEthernet0/1/0] display this
#                                                                               
 undo shutdown                                                                  
 dcn                                                                            
 dcn ospf timer hello 200                                                       
 dcn ospf timer dead 400                                                        
 dcn ospf timer poll 200                                                        
 dcn ospf timer retransmit 200                                                  
 dcn ospf trans-delay 20                                                        
#                                                                               
return
执行命令display dcn brief,查看GNE的配置信息。
<HUAWEI> display dcn brief
------------------------------------------------
 NE-ID:               0x10008
 NE-IP:               128.1.0.8
 Mask:                255.255.0.0
 DCN-Interface:       LoopBack2047
 Auto-Report:         Enable
------------------------------------------------
在DCN视图下执行命令display this,查看关闭DCN快速终结协商状态的配置信息。
[~HUAWEI-dcn] display this
#                                                                               
!The DCN function implements the capability of plug-and-play for this device.
!A NE IP address based on the unique NE ID is automatically generated in VPN
!of DCN. It is recommended that the NE IP address be changed to the planned 
!one by running the ne-ip X.X.X.X <MASK>command after the device being online.
dcn                                                                             
 bandwidth ethernet 1024                                                        
 bandwidth pos 1024                                                             
 bandwidth serial 192                                                           
 fast-terminate disable                                                         
#                                                                               
return
翻译
English
下载文档
更新时间:2019-01-02

文档编号:EDOC1100058323

浏览量:12661

下载量:37

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: