华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置内网网络安全
背景信息
大中型园区网络典型组网通常分为核心、汇聚、接入三层架构,部分简化的网络可能采用核心,接入两层架构。可逐层配置安全特性,来构筑全方位的内网网络安全。
配置任务概览
网络层次 |
任务描述 |
详细部署步骤 |
|---|---|---|
接入层 |
开启风暴控制 |
|
开启DHCP Snooping |
||
开启IPSG |
||
开启DAI |
||
开启端口隔离 |
||
接入层无线侧 |
配置空口安全 |
一般需要登录WAC的Web网管或者命令行方式配置,规划功能点可参考内网网络安全设计中的无线接入层内容。
|
配置终端接入安全 |
||
配置业务安全 |
||
汇聚层 |
|
|
核心层 |
配置CPU防攻击 |
核心层交换机左侧列表中的功能均有缺省配置,保证CPU对正常业务的处理和响应。这些功能如需自定义,可通过命令行方式在核心交换机上配置,详细配置过程,可参考园区交换机的产品文档: https://support.huawei.com/enterprise/zh/category/switches-pid-1482605678974?submodel=9856733 |
配置攻击溯源 |
||
配置端口防攻击 |
||
配置用户级限速 |
||
使能ARP优化应答 |
||
