我们已经准备好了,你呢?

2022我们与您携手共赢,为您的企业网络安全保驾护航!

第二章  STP原理及基本配置
生成树
lSTPSpanning Tree Protocol,生成树协议)是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP配置命令

启动全局STP特性     stp enable

关闭全局STP特性     undo stp enable

 

*全局开启后,每个接口下的STP功能也被打开

 

接口视图下关闭STP特性    stp disable

接口下开启STP特性    stp enable
 

STP的交换机保护功能

1. Root保护功能

由于维护人员的错误配置或网络中的恶意攻击,网络中的合

法根桥有可能会收到优先级更高的配置消息,这样当前根桥

会失去根桥的地位,引起网络拓扑结构的错误变动。这种不

合法的变动,会导致原来应该通过高速链路的流量被牵引到

低速链路上,导致网络拥塞。

 

stp root primary命令用来指定当前交换机作为指

定生成树实例的根桥。

undo stp root命令用来取消当前交换机作为指定生

成树实例的根桥资格。

stp instance 0 root primary
STP优化-边缘端口

边缘端口是指不直接与任何交换机连接,也不通过端口所连

接的网络间接与任何交换机相连的端口。

 

用户如果将某个端口指定为边缘端口,那么当该端口由阻塞

状态向转发状态迁移时,这个端口可以实现快速迁移,而无

需等待延迟时间。

在交换机没有开启BPDU保护的情况下,如果被设置为边缘

端口的端口上收到来自其它端口的BPDU报文,则该端口会

重新变为非边缘端口。

 

对于直接与终端相连的端口,请将该端口设置为边缘端口,

同时启动BPDU保护功能。这样既能够使该端口快速迁移到

转发状态,也可以保证网络的安全。
边缘端口配置

stp edged-port enable命令用来将当前的以太网端

口配置为边缘端口

stp edged-port disable命令用来将当前的以太网

端口配置为非边缘端口

undo stp edged-port命令用来将当前的以太网端

口恢复为缺省状态,即非边缘端口。

 

*缺省情况下,交换机所有以太网端口均被配置为非

边缘端口
STP的交换机保护功能

2. BPDU保护功能

边缘端口接收到配置消息后,系统会自动将这些端口设置为非

边缘端口,重新计算生成树,这样就引起网络拓扑的震荡。

 

正常情况下,边缘端口应该不会收到生成树协议的配置消息。

如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。

 

BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU

保护功能以后,如果边缘端口收到了配置消息,系统就将这些

端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的边

缘端口只能由网络管理人员恢复。
查看STP信息

display stp brief  显示STP生成树的简要状态信息。

 

<Sysname> display stp instance 0 interface Ethernet 1/0/1 to Ethernet 1/0/4 brief

  MSTID      Port                  Role  STP State    Protection

   0         Ethernet1/0/1         ALTE  DISCARDING   LOOP

   0         Ethernet1/0/2         DESI  FORWARDING   NONE

   0         Ethernet1/0/3         DESI  FORWARDING   NONE

   0         Ethernet1/0/4         DESI  FORWARDING   NONE

n第三章  ACL原理及基本配置
ACL访问控制列表

        为了过滤通过网络设备的数据包,需要配置一系列的匹

配规则,以识别需要过滤的对象。在识别出特定的对象之后

,网络设备才能根据预先设定的策略允许或禁止相应的数据

包通过。

访问控制列表(Access Control ListACL)就是用来实现

这些功能。

 

ACL通过一系列的匹配条件对数据包进行分类,这些条件可

以是数据包的源地址、目的地址、端口号等。ACL可应用在

交换机全局或端口上,交换机根据ACL中指定的条件来检测

数据包,从而决定是转发还是丢弃该数据包。
以太网访问列表

l主要作用:在整个网络中分布实施接入安全性

访问控制列表ACL

对到达端口的数据包进行分类,并打上不同的动作标记

 

访问列表作用于交换机的所有端口

访问列表的主要用途:

包过滤

镜像

流量限制

流量统计

分配队列优先级
流分类

通常选择数据包的包头信息作为流分类项

2层流分类项

以太网帧承载的数据类型

/目的MAC地址

以太网封装格式

Vlan ID

/出端口

3/4层流分类项

协议类型

/目的IP地址

/目的端口号

DSCP
IP 数据包过滤

访问控制列表的构成

lRule(访问控制列表的子规则)
lTime-range(时间段机制)
lACL=rules [+ time-range]

(访问控制列表由一系列规则组成,有必要时

会和时间段结合)

时间段的相关配置

l在系统视图下,配置时间段:
àtime-range time-name [ start-time to end-time] [ days-of-the-week ] [ from start- date] [ to end-date ]
l在系统视图下,删除时间段:
àundo time-range time-name [ start-time toend-time ] [ days-of-the-week ] [ from start- date] [ to end-date ]
l假设管理员需要在从2002121日上午8点到200311日下午18点的时间段内实施安全策略,可以定义时间段名为denytime,具体配置如下
à[H3C]time-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003
访问控制列表的类型
l20002999:表示基本ACL。只根据数据包的源IP地址制定规则。
l30003999:表示高级ACL39983999是系统为集群管理预留的编号,用户无法配置)。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。
l40004999:表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
l50005999:表示用户自定义ACL。以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
定义访问控制列表
l在系统视图下,定义ACL并进入访问控制列表视图:
àacl { number acl-number | name acl-name   basic | advanced | interface | link} [ match-order { config | auto } ]
l在系统视图下,删除ACL:
àundo acl { number acl-number | name acl-name | all }
基本访问控制列表的规则配置
l在基本访问控制列表视图下,配置相应的规则
àrule [ rule-id ] { permit | deny }  [ source  source-addr source-wildcard | any ] [ fragment ] [ time-range time-range-name ]
l在基本访问控制列表视图下,删除一条子规则
àundo rule  rule-id [ source ] [ fragment ] [ time-range ]
高级访问控制列表的规则配置
l在高级访问控制列表视图下,配置相应的规则
àrule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ]  [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ]  [ established ] [ precedence precedence ] [ tostos ] | [ dscp dscp ] [ fragment ] [ time-range time-range-name ]
l在高级访问控制列表视图下,删除一条子规则
àundo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ]  [ precedence ] [ tos ] | [ dscp ] [ fragment ]  [ time-range ]
 
端口操作符及语法
lTCP/UDP协议支持的端口操作符及语法

接口访问控制列表的规则配置
l在接口访问控制列表视图下,配置相应的规则
àrule [ rule-id ] { permit | deny } [ interface { interface-name | interface-type interface-num | any } ]  [ time-range time-range-name ]

 

l在接口访问控制列表视图下,删除一条子规则
àundo rule rule-id
 

二层访问控制列表的规则配置

l在二层访问控制列表视图下,配置相应的规则
àrule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } [ time-range time-range-name ]
l在二层访问控制列表视图下,删除一条子规则
àundo rule rule-id

自定义访问控制列表的规则配置

l在自定义访问控制列表视图下,配置相应的规则
àrule [ rule-id ] { permit | deny } { rule-stringrule-mask offset }&<1-20> [ time-range time-range-name ]
l在自定义访问控制列表视图下,删除一条子规则
àundo rule rule-id

 

l用户自定义访问控制列表的数字标识取值范围为50005999
规则匹配原则
l一条访问控制列表往往会由多条规则组成,这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上,支持下列两种匹配顺序:
àConfig:指定匹配该规则时按用户的配置顺序(后下发先生效)
àAuto:指定匹配该规则时系统自动排序(按“深度优先”的顺序)
 

激活访问控制列表

l在系统视图下,激活ACL:
àpacket-filter { user-group { acl-number | acl-name } [ rule rule ] |  { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }
l在系统视图下,取消激活ACL:
àundo packet-filter { user-group { acl-number | acl-name } [ rule rule ] |  { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }
配置ACL进行包过滤的步骤
l综上所述,在H3C交换机上配置ACL进行包过滤的步骤如下:
à配置时间段(可选)
à定义访问控制列表(四种类型:基本、高级、基于接口、基于二层和用户自定义)
à激活访问控制列表
 

访问控制列表配置举例一

要求配置高级ACL,禁止员工在工作日8:0018:00的时间段内访问新浪网站( 61.172.201.194 

 

1. 定义时间段

[H3C] time-range test 8:00 to 18:00 working-day

2.定义高级ACL 3000,配置目的IP地址为新浪网站的访问规则。

[H3C] acl number 3000

[H3C -acl-adv-3000] rule 1 deny ip destination 61.172.201.194 0 time-range test

3.在端口Ethernet1/0/15上应用ACL 3000

[H3C] interface Ethernet 1/0/15

[H3C-Ethernet1/0/15] packet-filter inbound ip-group 3000
访问控制列表配置举例二

配置防病毒ACL

1. 定义高级ACL 3000

[H3C] acl number 3000

[H3C -acl-adv-3000] rule 1 deny udp destination-port  eq 335

[H3C -acl-adv-3000] rule 3 deny tcp source-port  eq 3365

[H3C -acl-adv-3000] rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port  eq 3875

2. 在端口Ethernet1/0/1上应用ACL 3000

[H3C-Ethernet1/0/1] packet-filter inbound ip-group 3000


我们凭借多年的智能化设计及施工经验,坚持以“帮助中小企业实现现代化网络”为宗旨,累计为4000多家客户提供品质智能化服务,得到了客户的一致好评。如果您有综合布线、计算机网络、无线覆盖、门禁考勤、机房建设、防火墙、路由器及交换机调试等方面的需求...
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线

我们已经准备好了,你呢?

2022我们与您携手共赢,为您的企业网络安全保驾护航!

在线客服
联系方式

热线电话

17804441181

上班时间

周一到周五

公司电话

+86-512-65829193

二维码
微信
线