所选语种没有对应资源,请选择:
企业业务网站
选择区域/语言
Huawei Global - English
技术支持 文档中心
CloudEngine 12800, 12800E V200R005C10 配置指南-安全

本文档介绍了安全的配置,具体包括AAA配置、802.1x认证配置、ACL配置、TCAM ACL资源自定义配置、本机防攻击配置、微分段、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、MACsec配置、DHCP Snooping配置、IPSG配置、URPF配置、SSL配置、Keychain配置和FIPS配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置本机防攻击示例

配置本机防攻击示例

组网需求

图6-3所示,位于不同局域网的用户通过Switch连接到路由器访问Internet,Switch接入大量的用户,会接收到大量需要上送CPU的报文,容易遭受针对CPU的报文攻击。

  • 管理员希望能够实时了解设备CPU的安全状态,明确设备CPU是否受到攻击,当存在可能造成攻击的报文时,设备能够及时提醒管理员采用一定的措施来保护设备CPU。
  • 管理员发现Net1网段中的用户经常会发生攻击行为,希望能够阻止该网段用户接入网络。
  • 管理员发现攻击者发送大量的ARP报文,影响CPU的正常工作,希望能够减小ARP报文对CPU处理正常业务的影响。
图6-3 配置本机防攻击示例组网图

配置思路

采用如下的思路在Switch上配置本机防攻击:

  1. 攻击溯源提供了流量分析统计、攻击源识别、告警通知管理员等安全性措施,所以可以使能攻击溯源功能和攻击溯源告警功能并配置攻击溯源的惩罚措施,实现管理员能够实时了解设备CPU受攻击状况和对可能的攻击源进行防御部署。
  2. 将Net1网段中的攻击者列入黑名单,实现禁止Net1网段用户接入网络。
  3. 配置ARP报文上送CPU的速率限制,使ARP报文限制在一个较小的速率范围内,实现减小ARP报文对CPU处理正常业务的影响。

操作步骤

  1. 配置上送CPU报文的过滤规则

    # 定义ACL规则。

    <HUAWEI> system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] acl number 2001
[*Switch-acl4-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[*Switch-acl4-basic-2001] quit

  2. 配置防攻击策略

    # 创建防攻击策略。

    [*Switch] cpu-defend policy test1

    # 配置攻击溯源检查功能。

    [*Switch-cpu-defend-policy-test1] auto-defend enable

    # 使能攻击溯源告警功能。

    [*Switch-cpu-defend-policy-test1] auto-defend alarm enable
    # 配置攻击溯源惩罚措施为丢弃攻击报文。
    [*Switch-cpu-defend-policy-test1] auto-defend action deny

    # 配置黑名单。

    [*Switch-cpu-defend-policy-test1] blacklist 1 acl 2001

    # 配置ARP报文上送CPU的速率限制。

    [*Switch-cpu-defend-policy-test1] car packet-type arp pps 128
[*Switch-cpu-defend-policy-test1] quit

  3. 全局应用防攻击策略

    [*Switch] cpu-defend-policy test1
[*Switch] commit
[~Switch] quit

  4. 验证配置结果

    # 查看配置的防攻击策略的信息。
    <Switch> display cpu-defend policy test1
==============================================
Policy name: test1
Policy applys on slot: <3, 4>
Car packet-type arp(pps) : 128
Blacklist status:
----------------------------------------------
Slot    Blacklist State       ACL    ACLIPv6
----------------------------------------------
3       1         Successful  2001   --
4       1         Successful  2001   --
==============================================
    # 查看配置的CAR的信息。
    <Switch> display cpu-defend configuration all
Car configurations on slot 1 :                                                  
---------------------------------------------------                             
PacketType            Status      Car(pps)                                      
---------------------------------------------------                             
8021x                 Disabled         512 
aaa                   Enabled          384                                      
arp                   Enabled          128                                      
arp-miss              Enabled          512                                      
……

配置文件

Switch的配置文件

#
sysname Switch
#                                                                               
cpu-defend policy test1                                                         
 blacklist 1 acl 2001                                                           
 car packet-type arp pps 128                                                    
 auto-defend enable                                                             
 auto-defend action deny                                                        
 auto-defend alarm enable                                                       
 auto-defend trace-type source-mac source-ip                    
 auto-defend protocol all                                                       
#   
cpu-defend-policy test1
#
acl number 2001
 rule 5 permit source 10.1.1.0 0.0.0.255
# 
return
翻译
English
下载文档
更新时间:2021-09-17

文档编号:EDOC1100075484

浏览量:49949

下载量:345

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页
华为亿家APP下载 华为亿家APP下载

版权所有 © 华为技术有限公司 1998-2022。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: