2023年12月8日发(作者:姜秀丽)
目 录
入门篇 ........................................................................................................................................... 3
TELNET远程管理交换机配置 ..................................................................................................... 3
H3C S3100-SI S5100系列交换机TELNET配置流程 ..................................................................... 3
H3C S3600 S5600系列交换机TELNET配置流程 ........................................................................... 4
交换机基于端口VLAN应用配置 ................................................................................................. 6
Web管理的配置 .......................................................................................................................... 7
H3C S3100-SI-SI S5100系列交换机Web配置流程 .................................................................. 8
H3C S3600 S5600 系列交换机Web配置流程 .......................................................................... 8
H3C S5500-SI S3610 S5510系列交换机Web配置流程 ........................................................... 9
VLAN接口动态获取IP地址配置 ................................................................................................ 9
流限速的配置 ............................................................................................................................ 10
H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置............................................... 10
自定义ACL的配置 .................................................................................................................... 10
H3C 3600的配置 ...................................................................................................................... 11
H3C 5600的配置 ...................................................................................................................... 11
H3C 3610 5510的配置 ............................................................................................................. 12
交换机Trunk端口配置 .............................................................................................................. 12
交换机端口链路类型介绍 .......................................................................................................... 15
交换机DHCP Sever的配置 ...................................................................................................... 17
交换机DHCP Relay的配置 ...................................................................................................... 18
防ARP攻击配置举例 ................................................................................................................ 19
ARP攻击防御功能介绍 .............................................................................................................. 20
1.1 ARP攻击简介 ..................................................................................................................... 20
1.2 ARP攻击防御 ..................................................................................................................... 22
1.2.1 DHCP Snooping功能 ................................................................................................ 23
1.2.2 IP静态绑定功能 .......................................................................................................... 23
1.2.3 ARP入侵检测功能 ...................................................................................................... 24
1.2.4 ARP报文限速功能 ...................................................................................................... 24
1.2.5 CAMS下发网关配置功能 .......................................................................................... 25
1.3 ARP攻击防御配置指南 ....................................................................................................... 25
1.4 支持ARP攻击防御功能的产品列表 ................................................................................... 27
ARP攻击防御配置举例 .............................................................................................................. 28
1.5 DHCP监控模式下的ARP攻击防御配置举例 ..................................................................... 28
1 / 78
1.5.1 组网需求 ...................................................................................................................... 28
1.5.2 组网图 .......................................................................................................................... 29
1.5.3 配置思路 ...................................................................................................................... 29
1.5.4 配置步骤 ...................................................................................................................... 29
1.5.5 注意事项 ...................................................................................................................... 32
1.6 认证模式下的ARP攻击防御配置举例 ............................................................................... 33
1.6.1 组网需求 ...................................................................................................................... 33
1.6.2 组网图 .......................................................................................................................... 34
1.6.3 配置思路 ...................................................................................................................... 34
1.6.4 配置步骤 ...................................................................................................................... 34
1.6.5 注意事项 ...................................................................................................................... 44
堆叠管理配置 ............................................................................................................................ 44
集群管理配置 ............................................................................................................................ 47
高级篇 ....................................................................................................................................... 49
交换机配置(一)交换机端口限速 ............................................................................................ 49
交换机配置(二)端口绑定基本配置 ........................................................................................ 52
交换机配置(三)ACL基本配置 ............................................................................................... 53
交换机配置(四)密码恢复 ....................................................................................................... 59
交换机配置(五)三层交换配置 ............................................................................................... 60
交换机配置(六)端口镜像配置 ............................................................................................... 62
交换机配置(七)DHCP配置 ................................................................................................... 65
交换机配置(八)配置文件管理 ............................................................................................... 68
交换机配置(九)远程管理配置 ............................................................................................... 70
交换机配置(十)STP配置 ...................................................................................................... 72
交换机配置(十一)私有VLAN配置 ........................................................................................ 74
交换机配置(十二)端口trunk、hybrid应用配置 .................................................................... 75
S系列交换机实现不同VLAN之间互访的配置 .......................................................................... 77
2 / 78
入门篇
TELNET远程管理交换机配置
组网需求:
1.PC通过telnet登陆交换机并对其进行管理;
2.分别应用帐号+密码方式、仅密码方式以及radius认证方式;
3.只允许192.1.1.0/24网段的地址的PC TELNET访问。
组网图:
作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch
A。
配置步骤:
H3C S3100-SI S5100系列交换机TELNET配置流程
账号+密码方式登陆
1.配置TELNET登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]management-vlan 2
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
3 / 78
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812
6.配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
8.创建(进入)一个域,名为”huawei”
[SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
10.将域”huawei”配置为缺省域
[SwitchA]domain default enable Huawei
TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255
2.配置只允许符合ACL2000的IP地址登录交换机
[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound
3.补充说明:
TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置;TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。
H3C S3600 S5600系列交换机TELNET配置流程
账号+密码方式登陆
4 / 78
1.配置TELNET登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例)
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812
6.配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
8.创建(进入)一个域,名为”huawei”
5 / 78
[SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
10.将域”huawei”配置为缺省域
[SwitchA]domain default enable Huawei
TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255
2.配置只允许符合ACL2000的IP地址登录交换机
[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound
3.补充说明:
TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;
在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super
password为明文密码”super3”:[SwitchA]super password level 3 simple super3
3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程
1.补充说明:
由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:[SwitchA]telnet server enable 即可。
配置关键点:
1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;
2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示;
3.TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。
交换机基于端口VLAN应用配置
组网需求:
PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2,端口分别属于VLAN10和VLAN20。
组网图:
6 / 78
配置步骤:
方法1
1.创建(进入)VLAN10,将E1/0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 1/0/1
2.创建(进入)VLAN20,将E1/0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 1/0/2
方法2
1.进入以太网端口E1/0/1的配置视图
[SwitchA]interface Ethernet 1/0/1
2.配置端口E1/0/1的PVID为10
[SwitchA-Ethernet1/0/1]port access vlan 10
3.进入以太网端口E1/0/1的配置视图
[SwitchA]interface Ethernet 0/2
4.配置端口E1/0/2的PVID为20
[SwitchA-Ethernet1/0/2]port access vlan 20
配置关键点:
无
Web管理的配置
组网需求:
PC通过IE浏览器对Switch A进行管理。
组网图:
作为Web登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch
A。
配置步骤:
7 / 78
H3C S3100-SI-SI S5100系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中
< SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15
2.配置Web登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]management-vlan 2
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
H3C S3600 S5600 系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中
< SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15
2.配置Web登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
4.补充说明:
如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件(可以从网站上下载相应的交换机软件版本时得到,其扩展名为”web”或者”zip”)载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套;
Web登陆主机与交换机不是直连情况下需要配置默认路由;
登陆的时候在IE浏览器中输入192.168.0.1即可进入Web登陆页面。
8 / 78
H3C S5500-SI S3610 S5510系列交换机Web配置流程
1.补充说明:
配置跟上述配置完全一致,但是不需要在flash中有web管理的文件,因为该文件已经被集成在vrp软件版本中了,只要按照上述的配置作就可以了。
配置关键点:
1.对于S3100-SI S5100系列二层交换机,配置管理VLAN时必须保证没有别的VLAN虚接口;
2.在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)。
VLAN接口动态获取IP地址配置
组网需求:
1.SwitchA为二层交换机,管理VLAN为VLAN10,SwitchA的VLAN接口10动态获取IP地址;
2.SwitchA的以太网端口E1/0/1为Trunk端口,连接到SwitchB,同时SwitchB提供DHCP Server功能。
组网图:
配置步骤:
SwitchA配置
1.将E0/1端口设为trunk,并允许所有的vlan通过
[SwitchA-Ethernet1/0/1]port link-type trunk
[SwitchA-Ethernet1/0/1]port trunk permit vlan all
2.创建(进入)VLAN10
[SwitchA]vlan 10
3.创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface 10
4.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address dhcp-alloc
Switch B配置
请参考DHCP Server配置部分
配置关键点:
9 / 78
1.二层交换机只允许设置一个VLAN虚接口,在创建VLAN10的虚接口前需要保证没有别的VLAN虚接口;
2.虽然交换机的VLAN接口动态获取了IP地址,但是不能获得网关地址,因此还需要在交换机上手工添加静态默认路由。
流限速的配置
组网需求:
在交换机的Ethernet1/0/1口的入方向设置流量限速,限定速率为1Mbps(1024Kbps)。
组网图:
配置步骤:
H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置
1.配置acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
2.对端口E1/0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1 exceed drop
配置关键点:
无
自定义ACL的配置
一 组网需求:
配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤攻击主机发出的冒充网关的ARP报文。
10 / 78
二 组网图:
三 配置步骤:
H3C 3600的配置
1.定义5000 acl
[Switch] acl number 5000
2.把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32分别是协议字段和源IP字段的偏移量)
[Switch-acl-user-5000]rule 0 deny 0806 ffff 16 c0a80001 ffffffff 32
3.允许arp协议报文源mac地址(偏移量为26)是000f-e226-233c(网关)的arp报文通过
[Switch-acl-user-5000]rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26
[Switch-acl-user-5000]quit
4.端口下下发创建的ACL
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000
H3C 5600的配置
1.定义5000 acl
[Switch] acl number 5000
2.把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文禁掉
[Switch-acl-user-5000]rule 0 deny 0806 ffff 20 c0a80001 ffffffff 36
11 / 78
3.允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过
[Switch-acl-user-5000]rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32
[Switch-acl-user-5000]quit
4.端口下下发创建的ACL
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000
H3C 3610 5510的配置
1.定义5000 acl
[Switch] acl number 5000
2.定义匹配的ACL规则,匹配arp报文
[Switch-acl-user-5000] rule deny l2 0806 ffff 12
3.配置扩展流模板bbb
[Switch] flow-template bbb extend l2 12 2
4.在端口E1/0/1上应用流模板bbb
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] flow-template bbb
[Switch-Ethernet1/0/1] quit
配置关键点:
1.如果开启了QinQ功能后,不建议应用用户自定义acl;
2.H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。
交换机Trunk端口配置
四 组网需求:
1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;
2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以 12 / 78
实现VLAN间的互访。
五 组网图:
1.VLAN内互访,VLAN间禁访
2.通过三层交换机实现VLAN间互访
六 配置步骤:
1 实现VLAN内互访VLAN间禁访配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
13 / 78
1.创建(进入)VLAN10,将E0/10加入到VLAN10
[SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/10
2.创建(进入)VLAN20,将E0/20加入到VLAN20
[SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/20
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet1/1]port link-type trunk
[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20
2 通过三层交换机实现VLAN间互访的配置
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
1.创建VLAN10
[SwitchB]vlan 10
2.设置VLAN10的虚接口地址
[SwitchB]interface vlan 10
[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0
3.创建VLAN20
[SwitchB]vlan 20
4.设置VLAN20的虚接口地址
14 / 78
[SwitchB]interface vlan 20
[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0
5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
七 配置关键点:
无
交换机端口链路类型介绍
一 交换机端口链路类型介绍
交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。
1.Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
2.Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
3.Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
二 各类型端口使用注意事项
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。
当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。
15 / 78
Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。
三 各类型端口在接收和发送报文时的处理
1.端口接收报文时的处理:
端口接收到的报文类型 报文帧结构中携带VLAN报文帧结构中不携带标记
Access端口 丢弃该报文
VLAN标记
为该报文打上VLAN标记为本端口的PVID
Trunk端口 判断本端口是否允许携同上
带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发,否则丢弃该报文
Hybrid端口 同上 同上
2.端口发送报文时的处理:
Access端口
Trunk端口
剥掉报文所携带的VLAN标记,进行转发
首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等,则剥掉报文所携带的VLAN标记,进行转发;否则报文将携带原有的VLAN标记进行转发
Hybrid端口 首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发,则处理方式同Access端口;
如果是tagged方式转发,则处理方式同Trunk端口
16 / 78
交换机DHCP Sever的配置
四 组网需求:
1.在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址;
2.DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。
五 组网图:
六 配置步骤:
1.创建(进入)VLAN2
[Switch]vlan 2
2.将E1/0/1端口加入VLAN2
[Switch-vlan2]port Ethernet1/0/2
3.进入VLAN接口2
[Switch-vlan2]int vlan 2
4.为VLAN2配置IP地址
[Switch-Vlan-interface2]ip address 192.168.0.1 255.255.255.0
5.全局使能DHCP功能
[Switch]dhcp enable
6.创建DHCP地址池并进入DHCP地址池视图
[Switch]dhcp server ip-pool h3c
7.配置动态分配的IP地址范围
[Switch-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0
8.配置网关地址
[Switch-dhcp-pool-h3c] gateway-list 192.168.0.1
9.禁止将PC机的网关地址分配给用户
[Switch]dhcp server forbidden-ip 192.168.0.1
10.指定vlan2虚接口工作在全局地址池模式
[Switch]dhcp select global interface vlan-interface 2
七 配置关键点:
1.需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得 17 / 78
192.168.0.0/24网段的IP地址;
2.对于DHCP Server设备,可以使用全局地址池和接口地址池进行地址分配,这两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令:
[Switch]dhcp select global all
3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无法看到有关DHCP的配置;
4.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900-EI、Quidway
S5600、H3C S3600-EI、H3C S5600系列交换机。
交换机DHCP Relay的配置
八 组网需求:
在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。
九 组网图:
一〇 配置步骤:
1.全局使能DHCP功能
[H3C]dhcp enable
2.指定DHCP Server组1所采用的DHCP Server的IP地址
[H3C]dhcp-server 1 ip 192.168.0.1
3.配置DHCP Relay到DHCP Server的接口地址
[H3C]vlan 2
[H3C-vlan2]port e1/0/2
[H3C]int vlan 2
[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0
18 / 78
4.配置DHCP Relay到PC的接口地址
[H3C]vlan 3
[H3C-vlan3]port e1/0/3
[H3C]int vlan 3
[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0
5.指定VLAN接口归属到DHCP Server组1
[H3C-Vlan-interface3]dhcp-server 1
一一 配置关键点:
1.必须保证路由可达;
2.保证动态获得的IP地址在地址池中;
3.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、Quidway
S5600、H3C S3600和H3C S5600系列交换机。
防ARP攻击配置举例
关键词:ARP、DHCP Snooping
摘 要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)
MITM(Man-In-The-Middle,中间人攻击)
19 / 78
ARP攻击防御功能介绍
近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。
(1) DHCP监控模式下的ARP攻击防御解决方案
这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
(2) 认证方式下的ARP攻击防御解决方案
这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.1 ARP攻击简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
20 / 78
Gateway Switch网关的MAC更新了攻击者Host A
图1-1 “仿冒网关”攻击示意图
(2) 欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
GatewayHost A的MAC更新了 Switch攻击者Host A
图1-2 “欺骗网关”攻击示意图
(3) 欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
21 / 78
Gateway SwitchHost A的MAC更新了Host A攻击者Host C
图1-3 “欺骗终端用户”攻击示意图
(4) “中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。如ARP“中间人”攻击示意图所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
Gateway Switch伪造的ARP应答报文伪造的ARP应答报文Host AHost B(攻击者)Host C
图1-4 ARP“中间人”攻击示意图
(5) ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御
H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP
22 / 78
Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。详见常见网络攻击和防范对照表。
表1-1 常见网络攻击和防范对照表
攻击方式 防御方法
动态获取IP地址的用户进行“仿冒网关”、“欺配置DHCP Snooping、ARP入侵检测功能
骗网关”、“欺骗终端用户”、“ARP中间人攻击”
手工配置IP地址的用户进行“仿冒网关”、“欺配置IP静态绑定表项、ARP入侵检测功能
骗网关”、“欺骗终端用户”、“ARP中间人攻击”
ARP泛洪攻击 配置ARP报文限速功能
动态和手工配置IP地址的用户进行“仿冒网关”配置认证模式的ARP攻击防御解决方案攻击 (CAMS下发网关配置功能)
1.2.1 DHCP Snooping功能
DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;
(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
说明:
目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP
Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.2 IP静态绑定功能
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、 23 / 78
MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报文就不会被ARP入侵检测功能过滤。
1.2.3 ARP入侵检测功能
H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。
说明:
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
1.2.4 ARP报文限速功能
H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
24 / 78
1.2.5 CAMS下发网关配置功能
CAMS(Comprehensive Access Management Server,综合访问管理服务器)作为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理。如CAMS组网示意图所示。
CAMSIP networkGatewaySwitch ASwtich BHost AHost BHost CHost D
图1-5 CAMS组网示意图
认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过802.1x认证登录网络,并在CAMS上进行用户网关的设置,CAMS会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.3 ARP攻击防御配置指南
表1-2 ARP攻击防御配置
任务
-
配置DHCP
Snooping功能记录DHCP客户端的IP/MAC对应关系
操作
进入系统视图
进入以太网端口视图
设置指定端口为DHCP Snooping信任端口
退出至系统视图
命令
system-view
interface interface-type
interface-number
-
-
必选
dhcp-snooping trust
缺省情况下,交换机的端口均为不信任端口
-
说明
quit
25 / 78
任务 操作 命令
必选
说明
开启交换机DHCP
Snooping功能
dhcp-snooping
缺省情况下,以太网交换机的DHCP
Snooping功能处于禁止状态
-
可选
缺省情况下,没有配置IP静态绑定表项
-
-
可选
进入以太网端口视图
配置指定端口的IP静态绑定表项
interface interface-type
interface-number
ip source static binding
ip-address ip-address
配置IP静态绑定表项
[ mac-address
mac-address ]
退出至系统视图
进入以太网端口视图
quit
interface interface-type
interface-number
arp detection trust
配置ARP信任端口 缺省情况下,端口为ARP非信任端口
-
-
必选
配置ARP入退出至系统视图
侵检测功能,进入VLAN视图
防御常见的ARP攻击
开启ARP入侵检测功能
quit
vlan vlan-id
arp detection enable
缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态
-
必选
退出至系统视图
quit
开启ARP报文限速功能
arp rate-limit enable
缺省情况下,端口的ARP报文限速功能处于关闭状态
可选
配置允许通过端口的ARP报文的最大速率
arp rate-limit rate
缺省情况下,端口能通过的ARP报文的最大速率为15pps
-
可选
配置ARP限速功能
退出至系统视图
开启因ARP报文超速而被关闭的端口的状态自动恢复功能
quit
arp protective-down
recover enable
缺省情况下,交换机的端口状态自动恢复功能处于关闭状态
可选
配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间
arp protective-down
recover interval interval
缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒
26 / 78
说明:
有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的操作、命令手册。
1.4 支持ARP攻击防御功能的产品列表
表1-3 支持ARP攻击防御功能的产品列表
功能
产品型号
S5600(Release1602)
S5100-EI(Release2200)
S5100-SI(Release2200)
S3600-EI(Release1602)
S3600-SI(Release1602)
S3100-EI(Release2104)
S3100-52P(Release1602)
E352/E328(Release1602)
E152(Release1602)
E126A(Release2104)
DHCP
Snooping
ARP入侵检测
IP静态绑定
ARP报文限速
说明:
有关各款交换机支持的防ARP攻击功能的详细介绍,请参见各产品的操作手册。
27 / 78
ARP攻击防御配置举例
1.5 DHCP监控模式下的ARP攻击防御配置举例
1.5.1 组网需求
某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉攻击报文。详细网络应用需求分析如下。
校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10和VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,最终连接外网和DHCP。
Host area1所在子网内拥有一台TFTP服务器,其IP地址为192.168.0.10/24,MAC地址为000d-85c7-4e00。
为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch
B的端口Ethernet1/0/1为ARP信任端口。
为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能,并设置恢复时间间隔100秒。
28 / 78
1.5.2 组网图
DHCP serverIP networkEth1/0/3Vlan-int 10192.168.0.1/24Eth1/0/1Vlan-int 20192.168.1.1/24Eth1/0/2GatewayVLAN10Host area1Switch ASwtich BEth1/0/1Eth1/0/2Eth1/0/1Eth1/0/4VLAN20Host area2Eth1/0/4Eth1/0/2Eth1/0/3Eth1/0/3TFTP serverIP:192.168.0.10/24Host AHost BHost CHost DHost E
图1-6 DHCP监控模式下的ARP攻击防御组网示意图
1.5.3 配置思路
在接入交换机Switch A和Switch B上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。
在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能,并配置其上行口为ARP信任端口。
在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
1.5.4 配置步骤
1. 使用的版本
本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。
29 / 78
2. 配置客户端动态获取IP地址。
图1-7 配置客户端自动获取IP地址示意图
3. 配置Switch A
# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchA-vlan10] quit
# 配置Switch A的上行口为DHCP snooping信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchA] dhcp-snooping
# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。
[SwitchA] interface Ethernet1/0/4
[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10
mac-address 000d-85c7-4e00
[SwitchA-Ethernet1/0/4] quit
# 配置Switch A的上行口为ARP信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 10内所有端口的ARP入侵检测功能。
30 / 78
[SwitchA] vlan 10
[SwitchA-vlan10] arp detection enable
[SwitchA-vlan10] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 20
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 100
# 配置网关的缺省路由。
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
4. 配置Switch B
# 创建VLAN20,并将相应端口加入VLAN20中。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
# 配置Switch B的上行口为DHCP snooping信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] dhcp-snooping trust
[SwitchB-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchB] dhcp-snooping
# 配置Switch B的上行口为ARP信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] arp detection trust
[SwitchB-Ethernet1/0/1] quit
# 开启VLAN 20内所有端口的ARP入侵检测功能。
[SwitchB] vlan 20
[SwitchB-vlan20] arp detection enable
[SwitchB-vlan20] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。
[SwitchB] interface Ethernet1/0/2
[SwitchB-Ethernet1/0/2] arp rate-limit enable
[SwitchB-Ethernet1/0/2] arp rate-limit 20
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet1/0/3
[SwitchB-Ethernet1/0/3] arp rate-limit enable
[SwitchB-Ethernet1/0/3] arp rate-limit 20
[SwitchB-Ethernet1/0/3] quit
[SwitchB] interface Ethernet1/0/4
[SwitchB-Ethernet1/0/4] arp rate-limit enable
[SwitchB-Ethernet1/0/4] arp rate-limit 20
[SwitchB-Ethernet1/0/4] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchB] arp protective-down recover enable
[SwitchB] arp protective-down recover interval 100
31 / 78
# 配置网关的缺省路由。
[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1
5. 配置Gateway
# 创建VLAN 10和VLAN 20,并添加相应端口。
[Gateway] vlan 10
[Gateway–vlan10] port Ethernet 1/0/1
[Gateway–vlan10] quit
[Gateway] vlan 20
[Gateway–vlan20] port Ethernet 1/0/2
[Gateway–vlan20] quit
# 配置Vlan-interface10的IP地址为192.168.0.1/24。
[Gateway] interface vlan 10
[Gateway-Vlan-interface10] ip address 192.168.0.1 24
[Gateway-Vlan-interface10] quit
# 配置Vlan-interface20的IP地址为192.168.1.1/24。
[Gateway] interface vlan 20
[Gateway-Vlan-interface20] ip address 192.168.1.1 24
[Gateway-Vlan-interface20] quit
6. 配置DHCP服务器
由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。具体配置请参考DHCP服务器操作手册。
1.5.5 注意事项
配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping功能,并设置DHCP Snooping信任端口,否则所有ARP报文将都不能通过ARP入侵检测。
目前,H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
目前,H3C系列以太网交换机在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLAN ID。因此,如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。
H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。具体表现在:如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同,则 32 / 78
覆盖DHCP Snooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的DHCP Snooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。
实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。
1.6 认证模式下的ARP攻击防御配置举例
1.6.1 组网需求
某校园网内大部分用户通过接入设备连接网关和外网的服务器。管理员希望通过客户端和服务器间的认证机制,在客户端绑定网关的IP/MAC对应关系,过滤掉仿冒网关的ARP攻击报文。详细网络应用需求分析如下:
接入用户可以通过DHCP自动获取IP地址,也可以手工配置静态IP地址。但需要安装802.1x客户端,即:通过802.1x认证才能访问网络。
服务器采用H3C公司的CAMS认证/授权、计费服务器;CAMS通过将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击。
接入交换机需要开启802.1x和AAA相关配置。
33 / 78
1.6.2 组网图
DHCP serverCAMSIP networkIP:20.10.1.1/16Eth1/0/3Vlan-int 10192.168.0.1/24Eth1/0/1Vlan-int 20192.168.1.1/24Eth1/0/2IP:10.10.1.1/16GatewayVLAN10Host area1Switch AEth1/0/1Eth1/0/3Eth1/0/2Eth1/0/1Eth1/0/4Swtich BVLAN20Host area2Eth1/0/2Eth1/0/3Host AHost BHost CHost DHost E
图1-8 认证模式下的ARP攻击防御组网示意图
1.6.3 配置思路
用户安装802.1x客户端,即需要通过802.1x认证才能访问网络。
接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。
通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击。
1.6.4 配置步骤
1. 配置SwitchA
# 创建VLAN 10,并添加相应端口。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/3
[SwitchA-vlan10] quit
# 设置RADIUS方案cams,设置主服务器。
[SwitchA] radius scheme cams
[SwitchA-radius-cams] primary authentication 10.10.1.1
[SwitchA-radius-cams] accounting optional
# 设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchA-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchA-radius-cams] user-name-format with-domain
#服务类型为extended。
34 / 78
[SwitchA-radius-cams] server-type extended
[SwitchA-radius-cams] quit
# 定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchA] domain abc
[SwitchA-isp-abc] radius-scheme cams
[SwitchA-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[SwitchA] domain default enable abc
# 交换机全局开启802.1x功能。
[SwitchA] dot1x
# 在端口Ethernet1/0/2下开启802.1x功能。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] dot1x
[SwitchA-Ethernet1/0/2] quit
# 在端口Ethernet1/0/3下开启802.1x功能。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] dot1x
[SwitchA-Ethernet1/0/3] quit
# 配置网关的缺省路由
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
2. 配置SwitchB
# 创建VLAN 20,并添加相应端口。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
# 设置RADIUS方案cams,设置主服务器。
[SwitchB] radius scheme cams
[SwitchB-radius-cams] primary authentication 10.10.1.1
[SwitchB-radius-cams] accounting optional
# 设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchB-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchB-radius-cams] user-name-format with-domain
#服务类型为extended。
[SwitchB-radius-cams] server-type extended
[SwitchB-radius-cams] quit
# 定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchB] domain abc
[SwitchB-isp-abc] radius-scheme cams
[SwitchB-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[SwitchB] domain default enable abc
# 交换机全局开启802.1x功能。
[SwitchB] dot1x
# 在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.1x功能。
35 / 78
[SwitchB] interface Ethernet1/0/2
[SwitchB-Ethernet1/0/2] dot1x
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet1/0/3
[SwitchB-Ethernet1/0/3] dot1x
[SwitchB-Ethernet1/0/3] quit
[SwitchB] interface Ethernet1/0/4
[SwitchB-Ethernet1/0/4] dot1x
[SwitchB-Ethernet1/0/4] quit
# 配置网关的缺省路由。
[SwitchB] ip route-static 0.0.0.0 0 192.168.11
3. 配置Gateway
# 创建VLAN 10和VLAN 20,并添加端口
[Gateway] vlan 10
[Gateway–vlan10] port Ethernet 1/0/1
[Gateway–vlan10] quit
[Gateway] vlan 20
[Gateway–vlan20] port Ethernet 1/0/2
[Gateway–vlan20] quit
# 配置Vlan-interface10的IP地址为192.168.0.1/24。
[Gateway] interface vlan 10
[Gateway-Vlan-interface10] ip address 192.168.0.1 24
[Gateway-Vlan-interface10] quit
# 配置Vlan-interface20的IP地址为192.168.1.1/24。
[Gateway] interface vlan 20
[Gateway-Vlan-interface20] ip address 192.168.1.1 24
[Gateway-Vlan-interface20] quit
4. 配置RADIUS Server(以CAMS 2.10-R0210版本为例)
(1) 在登录页面输入正确的用户名、密码登录CAMS服务器
(2) 创建服务类型
登录CAMS服务器配置平台,点击左侧的“服务管理”下的“服务配置”,进入“服务配置”界面,如图所示。
图1-9 服务配置页面
点击“服务配置”界面上方的“增加”按钮:
36 / 78
“基本信息”中设置服务名为“Host”。
“认证客户端配置”选择“仅限CAMS配套客户端”;“IP地址获取方式”选择“不限”。
图1-10 增加服务页面
点击确定,成功添加服务类型。
(3) 添加帐户用户(以组网图中用户“HostA”帐号的创建为例)
登录CAMS服务器配置平台,点击左侧的“用户管理”的“帐号用户”,进入“帐户管理”界面。
图1-11 用户帐户界面
点击“增加”按钮后:
37 / 78
设置用户为“HostA”,密码为“HostA@school”,用户姓名为“HostA”。
在“服务信息”一栏,选择服务名称“Host”。
图1-12 用户开户页面
点击确定完成用户添加。
(4) 接入设备配置
登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。
图1-13 系统配置页面
选择修改“接入设备配置”界面。点击页面下方的“增加”按钮,增加配置项。
配置接入用户的IP地址,共享密钥等信息,如下图所示。
38 / 78
图1-14 增加配置项页面
点击确定后,可以看到如下提示:
图1-15 操作成功提示
此时需要返回“系统配置”页面,点击“立即生效”。
图1-16 系统配置页面的立即生效按钮
(5) 用户网关配置
登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。
39 / 78
图1-17 系统配置页面
选择修改“用户网关配置”,可以增加或修改网关的地址等信息。
图1-18 用户网关配置页面
点击页面下方的“增加”按钮,增加配置项。(以认证模式下的ARP攻击防御组网示意图中,网关Vlan-interface1接口为例)
图1-19 用户网关配置列表页面
点击“确定”,返回“系统配置”页面,点击“立即生效”。完成用户网关配置。
5. 配置客户端
接入用户PC上需要安装H3C公司iNode客户端产品。具体配置如下。
(1) 启动客户端
40 / 78
图1-20 客户端页面
(2) 选择“802.1x协议”
点击下一步:
图1-21 新建802.1x连接
选择“普通连接”,点击“下一步”。
41 / 78
图1-22 选择普通连接
(3) 设置用户名和密码
点击下一步:
图1-23 设置用户名和密码
(4) 设置连接属性
42 / 78
点击下一步:
图1-24 设置连接属性
(5) 完成连接的创建
图1-25 连接创建成功
(6) 启动连接
43 / 78
图1-26 启动连接
1.6.5 注意事项
如果接入用户的网段过多,可能导致无法将全部网关的IP-MAC对应关系下发到认证客户端。CAMS服务器上“用户网关配置”的最大数目,和接入交换机最多支持的网关ARP信息的下发数目,请参考相应的产品规格。
接入交换机上RADIUS策略,需要配置为server-type extended。
堆叠管理配置
一二 组网需求:
1. SwitchA作为主堆叠交换机,使用堆叠方式对SwitchB和SwitchC管理;
2. SwitchA使用端口G1/1和G2/1上的堆叠模块,分别与SwitchB的G1/1和SwitchC的G1/1上的堆叠模块互连,每个端口都是Trunk端口,并且允许业务VLAN以及管理VLAN100通过。
一三 组网图:
44 / 78
一四 配置步骤:
集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令来修改交换机在集群管理中的管理VLAN。
3 Quidway 2000-EI、3000和H3C 3100-SI、5100 、3500系列交换机的配置
SwitchA配置:
1.创建VLAN100
[SwitchA]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchA]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet 1/1]port link-type trunk
[SwitchA-GigabitEthernet 1/1]port trunk permit vlan 100
4.进入堆叠端口G2/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchA]interface GigabitEthernet 1/2
[SwitchA-GigabitEthernet 1/2]port link-type trunk
[SwitchA-GigabitEthernet 1/2]port trunk permit vlan 100
5.配置堆叠管理使用的IP地址范围
[SwitchA]stacking ip-pool 100.1.1.1 16
6.建立堆叠
[SwitchA]stacking enable
SwitchB配置:
1.创建VLAN100
[SwitchB]vlan 100
2.将VLAN100配置为管理VLAN
45 / 78
[SwitchB]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet 1/1]port link-type trunk
[SwitchB-GigabitEthernet 1/1]port trunk permit vlan 100
4.建立堆叠
[SwitchB]stacking enable
SwitchC配置:
1.创建VLAN100
[SwitchC]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchC]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchC]interface GigabitEthernet 1/1
[SwitchC-GigabitEthernet 1/1]port link-type trunk
[SwitchC-GigabitEthernet 1/1]port trunk permit vlan 100
4.建立堆叠
[SwitchC]stacking enable
4 H3C 3600系列交换机的配置
SwitchA配置:
1.使能端口G1/1,G1/2的堆叠功能
[SwitchA]fabric-port Gigabit Ethernet1/0/1 enable
[SwitchA]fabric-port Gigabit Ethernet1/0/2 enable
SwitchB配置:
1.使能端口G1/1的堆叠功能
[SwitchB]fabric-port Gigabit Ethernet1/0/1 enable
SwitchC配置:
1.使能端口G1/1的堆叠功能
[SwitchC]fabric-port Gigabit Ethernet1/0/1 enable
一五 配置关键点:
1.在主堆叠交换机上登录从堆叠交换机的命令为:[SwitchA]stacking num
注意该命令只能在主堆叠交换机上使用,如果从某个从堆叠交换机视图切换回主堆叠交换机视图,则只需输入quit即可;
2.对于H3C 5600系列交换机只要插上专用的堆叠电缆,会自动堆叠无需人工 46 / 78
操作
集群管理配置
一六 组网需求:
1.SwitchA作为集群管理交换机,对成员SwitchB和SwitchC进行集群管理;
2.SwitchA使用以太网端口E0/1和E0/2,分别与SwitchB和SwitchC的端口E0/24互连,互连端口都是Trunk端口,允许业务VLAN以及管理VLAN100通过;
3.此案例同时适用于以下产品:
H3C 3100-SI、5100、3500、3600、5600、3610、5510系列交换机
Quidway 3000、2000-EI系列交换机。
一七 组网图:
一八 配置步骤:
集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令来修改交换机在集群管理中的管理VLAN。
SwitchA配置:
1.创建VLAN100
[SwitchA]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchA]management-vlan 100
3.进入以太网端口E0/1,将其配置为Trunk端口,并允许管理VLAN100通过
[SwitchA]interface Ethernet 0/1
47 / 78
[SwitchA-Ethernet0/1]port link-type trunk
[SwitchA-Ethernet0/1]port trunk permit vlan 100
4.进入以太网端口E0/2,将其配置为Trunk端口,并允许管理VLAN100通过
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type trunk
[SwitchA-Ethernet0/2]port trunk permit vlan 100
5.启动集群功能
[SwitchA]cluster enable
6.进入集群视图,配置集群管理内部使用的IP地址,起始地址为100.1.1.1,共有16个地址
[SwitchA]cluster
[SwitchA-cluster]ip-pool 100.1.1.1 255.255.255.240
7.配置集群名字为huawei,并自动建立集群
[SwitchA-cluster]build H3C
[H3C_A-cluster]auto-build
SwitchB配置:
1.创建VLAN100
[SwitchB]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchB]management-vlan 100
3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchB]interface Ethernet 0/24
[SwitchB-Ethernet0/24]port link-type trunk
[SwitchB-Ethernet0/24]port trunk permit vlan 100
4.启动集群功能
[SwitchB]cluster enable
SwitchC配置:
1.创建VLAN100
[SwitchC]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchC]management-vlan 100
3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过
48 / 78
[SwitchC]interface Ethernet 0/24
[SwitchC-Ethernet0/24]port link-type trunk
[SwitchC-Ethernet0/24]port trunk permit vlan 100
4.启动集群功能
[SwitchC]cluster enable
一九 配置关键点:
1.在管理设备上查看成员设备的命令:[SwitchA]display cluster member
在管理设备上登陆指定的成员设备的命令:
member-num以上两条命令只能在管理设备上成功执行。
高级篇
华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:
交换机配置(一)交换机端口限速
2000_EI系列以上的交换机都可以限速!
限速不同的交换机限速的方式不一样!
2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
端口限速配置
1功能需求及组网说明
端口限速配置
『配置环境参数』
1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24
『组网需求』
1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤
『S2000EI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1. 进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
【补充说明】
49 / 78
2023年12月8日发(作者:姜秀丽)
目 录
入门篇 ........................................................................................................................................... 3
TELNET远程管理交换机配置 ..................................................................................................... 3
H3C S3100-SI S5100系列交换机TELNET配置流程 ..................................................................... 3
H3C S3600 S5600系列交换机TELNET配置流程 ........................................................................... 4
交换机基于端口VLAN应用配置 ................................................................................................. 6
Web管理的配置 .......................................................................................................................... 7
H3C S3100-SI-SI S5100系列交换机Web配置流程 .................................................................. 8
H3C S3600 S5600 系列交换机Web配置流程 .......................................................................... 8
H3C S5500-SI S3610 S5510系列交换机Web配置流程 ........................................................... 9
VLAN接口动态获取IP地址配置 ................................................................................................ 9
流限速的配置 ............................................................................................................................ 10
H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置............................................... 10
自定义ACL的配置 .................................................................................................................... 10
H3C 3600的配置 ...................................................................................................................... 11
H3C 5600的配置 ...................................................................................................................... 11
H3C 3610 5510的配置 ............................................................................................................. 12
交换机Trunk端口配置 .............................................................................................................. 12
交换机端口链路类型介绍 .......................................................................................................... 15
交换机DHCP Sever的配置 ...................................................................................................... 17
交换机DHCP Relay的配置 ...................................................................................................... 18
防ARP攻击配置举例 ................................................................................................................ 19
ARP攻击防御功能介绍 .............................................................................................................. 20
1.1 ARP攻击简介 ..................................................................................................................... 20
1.2 ARP攻击防御 ..................................................................................................................... 22
1.2.1 DHCP Snooping功能 ................................................................................................ 23
1.2.2 IP静态绑定功能 .......................................................................................................... 23
1.2.3 ARP入侵检测功能 ...................................................................................................... 24
1.2.4 ARP报文限速功能 ...................................................................................................... 24
1.2.5 CAMS下发网关配置功能 .......................................................................................... 25
1.3 ARP攻击防御配置指南 ....................................................................................................... 25
1.4 支持ARP攻击防御功能的产品列表 ................................................................................... 27
ARP攻击防御配置举例 .............................................................................................................. 28
1.5 DHCP监控模式下的ARP攻击防御配置举例 ..................................................................... 28
1 / 78
1.5.1 组网需求 ...................................................................................................................... 28
1.5.2 组网图 .......................................................................................................................... 29
1.5.3 配置思路 ...................................................................................................................... 29
1.5.4 配置步骤 ...................................................................................................................... 29
1.5.5 注意事项 ...................................................................................................................... 32
1.6 认证模式下的ARP攻击防御配置举例 ............................................................................... 33
1.6.1 组网需求 ...................................................................................................................... 33
1.6.2 组网图 .......................................................................................................................... 34
1.6.3 配置思路 ...................................................................................................................... 34
1.6.4 配置步骤 ...................................................................................................................... 34
1.6.5 注意事项 ...................................................................................................................... 44
堆叠管理配置 ............................................................................................................................ 44
集群管理配置 ............................................................................................................................ 47
高级篇 ....................................................................................................................................... 49
交换机配置(一)交换机端口限速 ............................................................................................ 49
交换机配置(二)端口绑定基本配置 ........................................................................................ 52
交换机配置(三)ACL基本配置 ............................................................................................... 53
交换机配置(四)密码恢复 ....................................................................................................... 59
交换机配置(五)三层交换配置 ............................................................................................... 60
交换机配置(六)端口镜像配置 ............................................................................................... 62
交换机配置(七)DHCP配置 ................................................................................................... 65
交换机配置(八)配置文件管理 ............................................................................................... 68
交换机配置(九)远程管理配置 ............................................................................................... 70
交换机配置(十)STP配置 ...................................................................................................... 72
交换机配置(十一)私有VLAN配置 ........................................................................................ 74
交换机配置(十二)端口trunk、hybrid应用配置 .................................................................... 75
S系列交换机实现不同VLAN之间互访的配置 .......................................................................... 77
2 / 78
入门篇
TELNET远程管理交换机配置
组网需求:
1.PC通过telnet登陆交换机并对其进行管理;
2.分别应用帐号+密码方式、仅密码方式以及radius认证方式;
3.只允许192.1.1.0/24网段的地址的PC TELNET访问。
组网图:
作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch
A。
配置步骤:
H3C S3100-SI S5100系列交换机TELNET配置流程
账号+密码方式登陆
1.配置TELNET登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]management-vlan 2
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
3 / 78
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812
6.配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
8.创建(进入)一个域,名为”huawei”
[SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
10.将域”huawei”配置为缺省域
[SwitchA]domain default enable Huawei
TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255
2.配置只允许符合ACL2000的IP地址登录交换机
[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound
3.补充说明:
TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置;TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。
H3C S3600 S5600系列交换机TELNET配置流程
账号+密码方式登陆
4 / 78
1.配置TELNET登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例)
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
4.配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812
6.配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
8.创建(进入)一个域,名为”huawei”
5 / 78
[SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
10.将域”huawei”配置为缺省域
[SwitchA]domain default enable Huawei
TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255
2.配置只允许符合ACL2000的IP地址登录交换机
[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound
3.补充说明:
TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;
在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super
password为明文密码”super3”:[SwitchA]super password level 3 simple super3
3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程
1.补充说明:
由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:[SwitchA]telnet server enable 即可。
配置关键点:
1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;
2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示;
3.TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。
交换机基于端口VLAN应用配置
组网需求:
PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2,端口分别属于VLAN10和VLAN20。
组网图:
6 / 78
配置步骤:
方法1
1.创建(进入)VLAN10,将E1/0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 1/0/1
2.创建(进入)VLAN20,将E1/0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 1/0/2
方法2
1.进入以太网端口E1/0/1的配置视图
[SwitchA]interface Ethernet 1/0/1
2.配置端口E1/0/1的PVID为10
[SwitchA-Ethernet1/0/1]port access vlan 10
3.进入以太网端口E1/0/1的配置视图
[SwitchA]interface Ethernet 0/2
4.配置端口E1/0/2的PVID为20
[SwitchA-Ethernet1/0/2]port access vlan 20
配置关键点:
无
Web管理的配置
组网需求:
PC通过IE浏览器对Switch A进行管理。
组网图:
作为Web登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch
A。
配置步骤:
7 / 78
H3C S3100-SI-SI S5100系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中
< SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15
2.配置Web登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]management-vlan 2
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
H3C S3600 S5600 系列交换机Web配置流程
1.确认WEB管理文件已经在交换机flash中
< SwitchA >dir
7 (*) -rw- 801220 Apr 02 2000 00:02:15
2.配置Web登陆的ip地址
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24
3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin
4.补充说明:
如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件(可以从网站上下载相应的交换机软件版本时得到,其扩展名为”web”或者”zip”)载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套;
Web登陆主机与交换机不是直连情况下需要配置默认路由;
登陆的时候在IE浏览器中输入192.168.0.1即可进入Web登陆页面。
8 / 78
H3C S5500-SI S3610 S5510系列交换机Web配置流程
1.补充说明:
配置跟上述配置完全一致,但是不需要在flash中有web管理的文件,因为该文件已经被集成在vrp软件版本中了,只要按照上述的配置作就可以了。
配置关键点:
1.对于S3100-SI S5100系列二层交换机,配置管理VLAN时必须保证没有别的VLAN虚接口;
2.在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)。
VLAN接口动态获取IP地址配置
组网需求:
1.SwitchA为二层交换机,管理VLAN为VLAN10,SwitchA的VLAN接口10动态获取IP地址;
2.SwitchA的以太网端口E1/0/1为Trunk端口,连接到SwitchB,同时SwitchB提供DHCP Server功能。
组网图:
配置步骤:
SwitchA配置
1.将E0/1端口设为trunk,并允许所有的vlan通过
[SwitchA-Ethernet1/0/1]port link-type trunk
[SwitchA-Ethernet1/0/1]port trunk permit vlan all
2.创建(进入)VLAN10
[SwitchA]vlan 10
3.创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface 10
4.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address dhcp-alloc
Switch B配置
请参考DHCP Server配置部分
配置关键点:
9 / 78
1.二层交换机只允许设置一个VLAN虚接口,在创建VLAN10的虚接口前需要保证没有别的VLAN虚接口;
2.虽然交换机的VLAN接口动态获取了IP地址,但是不能获得网关地址,因此还需要在交换机上手工添加静态默认路由。
流限速的配置
组网需求:
在交换机的Ethernet1/0/1口的入方向设置流量限速,限定速率为1Mbps(1024Kbps)。
组网图:
配置步骤:
H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置
1.配置acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
2.对端口E1/0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1 exceed drop
配置关键点:
无
自定义ACL的配置
一 组网需求:
配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤攻击主机发出的冒充网关的ARP报文。
10 / 78
二 组网图:
三 配置步骤:
H3C 3600的配置
1.定义5000 acl
[Switch] acl number 5000
2.把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32分别是协议字段和源IP字段的偏移量)
[Switch-acl-user-5000]rule 0 deny 0806 ffff 16 c0a80001 ffffffff 32
3.允许arp协议报文源mac地址(偏移量为26)是000f-e226-233c(网关)的arp报文通过
[Switch-acl-user-5000]rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26
[Switch-acl-user-5000]quit
4.端口下下发创建的ACL
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000
H3C 5600的配置
1.定义5000 acl
[Switch] acl number 5000
2.把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文禁掉
[Switch-acl-user-5000]rule 0 deny 0806 ffff 20 c0a80001 ffffffff 36
11 / 78
3.允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过
[Switch-acl-user-5000]rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32
[Switch-acl-user-5000]quit
4.端口下下发创建的ACL
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000
H3C 3610 5510的配置
1.定义5000 acl
[Switch] acl number 5000
2.定义匹配的ACL规则,匹配arp报文
[Switch-acl-user-5000] rule deny l2 0806 ffff 12
3.配置扩展流模板bbb
[Switch] flow-template bbb extend l2 12 2
4.在端口E1/0/1上应用流模板bbb
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] flow-template bbb
[Switch-Ethernet1/0/1] quit
配置关键点:
1.如果开启了QinQ功能后,不建议应用用户自定义acl;
2.H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。
交换机Trunk端口配置
四 组网需求:
1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;
2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以 12 / 78
实现VLAN间的互访。
五 组网图:
1.VLAN内互访,VLAN间禁访
2.通过三层交换机实现VLAN间互访
六 配置步骤:
1 实现VLAN内互访VLAN间禁访配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
13 / 78
1.创建(进入)VLAN10,将E0/10加入到VLAN10
[SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/10
2.创建(进入)VLAN20,将E0/20加入到VLAN20
[SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/20
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet1/1]port link-type trunk
[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20
2 通过三层交换机实现VLAN间互访的配置
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
1.创建VLAN10
[SwitchB]vlan 10
2.设置VLAN10的虚接口地址
[SwitchB]interface vlan 10
[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0
3.创建VLAN20
[SwitchB]vlan 20
4.设置VLAN20的虚接口地址
14 / 78
[SwitchB]interface vlan 20
[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0
5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
七 配置关键点:
无
交换机端口链路类型介绍
一 交换机端口链路类型介绍
交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。
1.Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
2.Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
3.Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
二 各类型端口使用注意事项
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。
当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。
15 / 78
Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。
三 各类型端口在接收和发送报文时的处理
1.端口接收报文时的处理:
端口接收到的报文类型 报文帧结构中携带VLAN报文帧结构中不携带标记
Access端口 丢弃该报文
VLAN标记
为该报文打上VLAN标记为本端口的PVID
Trunk端口 判断本端口是否允许携同上
带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发,否则丢弃该报文
Hybrid端口 同上 同上
2.端口发送报文时的处理:
Access端口
Trunk端口
剥掉报文所携带的VLAN标记,进行转发
首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等,则剥掉报文所携带的VLAN标记,进行转发;否则报文将携带原有的VLAN标记进行转发
Hybrid端口 首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发,则处理方式同Access端口;
如果是tagged方式转发,则处理方式同Trunk端口
16 / 78
交换机DHCP Sever的配置
四 组网需求:
1.在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址;
2.DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。
五 组网图:
六 配置步骤:
1.创建(进入)VLAN2
[Switch]vlan 2
2.将E1/0/1端口加入VLAN2
[Switch-vlan2]port Ethernet1/0/2
3.进入VLAN接口2
[Switch-vlan2]int vlan 2
4.为VLAN2配置IP地址
[Switch-Vlan-interface2]ip address 192.168.0.1 255.255.255.0
5.全局使能DHCP功能
[Switch]dhcp enable
6.创建DHCP地址池并进入DHCP地址池视图
[Switch]dhcp server ip-pool h3c
7.配置动态分配的IP地址范围
[Switch-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0
8.配置网关地址
[Switch-dhcp-pool-h3c] gateway-list 192.168.0.1
9.禁止将PC机的网关地址分配给用户
[Switch]dhcp server forbidden-ip 192.168.0.1
10.指定vlan2虚接口工作在全局地址池模式
[Switch]dhcp select global interface vlan-interface 2
七 配置关键点:
1.需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得 17 / 78
192.168.0.0/24网段的IP地址;
2.对于DHCP Server设备,可以使用全局地址池和接口地址池进行地址分配,这两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令:
[Switch]dhcp select global all
3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无法看到有关DHCP的配置;
4.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900-EI、Quidway
S5600、H3C S3600-EI、H3C S5600系列交换机。
交换机DHCP Relay的配置
八 组网需求:
在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。
九 组网图:
一〇 配置步骤:
1.全局使能DHCP功能
[H3C]dhcp enable
2.指定DHCP Server组1所采用的DHCP Server的IP地址
[H3C]dhcp-server 1 ip 192.168.0.1
3.配置DHCP Relay到DHCP Server的接口地址
[H3C]vlan 2
[H3C-vlan2]port e1/0/2
[H3C]int vlan 2
[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0
18 / 78
4.配置DHCP Relay到PC的接口地址
[H3C]vlan 3
[H3C-vlan3]port e1/0/3
[H3C]int vlan 3
[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0
5.指定VLAN接口归属到DHCP Server组1
[H3C-Vlan-interface3]dhcp-server 1
一一 配置关键点:
1.必须保证路由可达;
2.保证动态获得的IP地址在地址池中;
3.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、Quidway
S5600、H3C S3600和H3C S5600系列交换机。
防ARP攻击配置举例
关键词:ARP、DHCP Snooping
摘 要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)
MITM(Man-In-The-Middle,中间人攻击)
19 / 78
ARP攻击防御功能介绍
近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。
(1) DHCP监控模式下的ARP攻击防御解决方案
这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
(2) 认证方式下的ARP攻击防御解决方案
这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.1 ARP攻击简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
20 / 78
Gateway Switch网关的MAC更新了攻击者Host A
图1-1 “仿冒网关”攻击示意图
(2) 欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
GatewayHost A的MAC更新了 Switch攻击者Host A
图1-2 “欺骗网关”攻击示意图
(3) 欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
21 / 78
Gateway SwitchHost A的MAC更新了Host A攻击者Host C
图1-3 “欺骗终端用户”攻击示意图
(4) “中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。如ARP“中间人”攻击示意图所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
Gateway Switch伪造的ARP应答报文伪造的ARP应答报文Host AHost B(攻击者)Host C
图1-4 ARP“中间人”攻击示意图
(5) ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御
H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP
22 / 78
Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。详见常见网络攻击和防范对照表。
表1-1 常见网络攻击和防范对照表
攻击方式 防御方法
动态获取IP地址的用户进行“仿冒网关”、“欺配置DHCP Snooping、ARP入侵检测功能
骗网关”、“欺骗终端用户”、“ARP中间人攻击”
手工配置IP地址的用户进行“仿冒网关”、“欺配置IP静态绑定表项、ARP入侵检测功能
骗网关”、“欺骗终端用户”、“ARP中间人攻击”
ARP泛洪攻击 配置ARP报文限速功能
动态和手工配置IP地址的用户进行“仿冒网关”配置认证模式的ARP攻击防御解决方案攻击 (CAMS下发网关配置功能)
1.2.1 DHCP Snooping功能
DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;
(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
说明:
目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP
Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.2 IP静态绑定功能
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、 23 / 78
MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报文就不会被ARP入侵检测功能过滤。
1.2.3 ARP入侵检测功能
H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。
说明:
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
1.2.4 ARP报文限速功能
H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
24 / 78
1.2.5 CAMS下发网关配置功能
CAMS(Comprehensive Access Management Server,综合访问管理服务器)作为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理。如CAMS组网示意图所示。
CAMSIP networkGatewaySwitch ASwtich BHost AHost BHost CHost D
图1-5 CAMS组网示意图
认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过802.1x认证登录网络,并在CAMS上进行用户网关的设置,CAMS会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.3 ARP攻击防御配置指南
表1-2 ARP攻击防御配置
任务
-
配置DHCP
Snooping功能记录DHCP客户端的IP/MAC对应关系
操作
进入系统视图
进入以太网端口视图
设置指定端口为DHCP Snooping信任端口
退出至系统视图
命令
system-view
interface interface-type
interface-number
-
-
必选
dhcp-snooping trust
缺省情况下,交换机的端口均为不信任端口
-
说明
quit
25 / 78
任务 操作 命令
必选
说明
开启交换机DHCP
Snooping功能
dhcp-snooping
缺省情况下,以太网交换机的DHCP
Snooping功能处于禁止状态
-
可选
缺省情况下,没有配置IP静态绑定表项
-
-
可选
进入以太网端口视图
配置指定端口的IP静态绑定表项
interface interface-type
interface-number
ip source static binding
ip-address ip-address
配置IP静态绑定表项
[ mac-address
mac-address ]
退出至系统视图
进入以太网端口视图
quit
interface interface-type
interface-number
arp detection trust
配置ARP信任端口 缺省情况下,端口为ARP非信任端口
-
-
必选
配置ARP入退出至系统视图
侵检测功能,进入VLAN视图
防御常见的ARP攻击
开启ARP入侵检测功能
quit
vlan vlan-id
arp detection enable
缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态
-
必选
退出至系统视图
quit
开启ARP报文限速功能
arp rate-limit enable
缺省情况下,端口的ARP报文限速功能处于关闭状态
可选
配置允许通过端口的ARP报文的最大速率
arp rate-limit rate
缺省情况下,端口能通过的ARP报文的最大速率为15pps
-
可选
配置ARP限速功能
退出至系统视图
开启因ARP报文超速而被关闭的端口的状态自动恢复功能
quit
arp protective-down
recover enable
缺省情况下,交换机的端口状态自动恢复功能处于关闭状态
可选
配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间
arp protective-down
recover interval interval
缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒
26 / 78
说明:
有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的操作、命令手册。
1.4 支持ARP攻击防御功能的产品列表
表1-3 支持ARP攻击防御功能的产品列表
功能
产品型号
S5600(Release1602)
S5100-EI(Release2200)
S5100-SI(Release2200)
S3600-EI(Release1602)
S3600-SI(Release1602)
S3100-EI(Release2104)
S3100-52P(Release1602)
E352/E328(Release1602)
E152(Release1602)
E126A(Release2104)
DHCP
Snooping
ARP入侵检测
IP静态绑定
ARP报文限速
说明:
有关各款交换机支持的防ARP攻击功能的详细介绍,请参见各产品的操作手册。
27 / 78
ARP攻击防御配置举例
1.5 DHCP监控模式下的ARP攻击防御配置举例
1.5.1 组网需求
某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉攻击报文。详细网络应用需求分析如下。
校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10和VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,最终连接外网和DHCP。
Host area1所在子网内拥有一台TFTP服务器,其IP地址为192.168.0.10/24,MAC地址为000d-85c7-4e00。
为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch
B的端口Ethernet1/0/1为ARP信任端口。
为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能,并设置恢复时间间隔100秒。
28 / 78
1.5.2 组网图
DHCP serverIP networkEth1/0/3Vlan-int 10192.168.0.1/24Eth1/0/1Vlan-int 20192.168.1.1/24Eth1/0/2GatewayVLAN10Host area1Switch ASwtich BEth1/0/1Eth1/0/2Eth1/0/1Eth1/0/4VLAN20Host area2Eth1/0/4Eth1/0/2Eth1/0/3Eth1/0/3TFTP serverIP:192.168.0.10/24Host AHost BHost CHost DHost E
图1-6 DHCP监控模式下的ARP攻击防御组网示意图
1.5.3 配置思路
在接入交换机Switch A和Switch B上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。
在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能,并配置其上行口为ARP信任端口。
在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
1.5.4 配置步骤
1. 使用的版本
本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。
29 / 78
2. 配置客户端动态获取IP地址。
图1-7 配置客户端自动获取IP地址示意图
3. 配置Switch A
# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchA-vlan10] quit
# 配置Switch A的上行口为DHCP snooping信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchA] dhcp-snooping
# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。
[SwitchA] interface Ethernet1/0/4
[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10
mac-address 000d-85c7-4e00
[SwitchA-Ethernet1/0/4] quit
# 配置Switch A的上行口为ARP信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 10内所有端口的ARP入侵检测功能。
30 / 78
[SwitchA] vlan 10
[SwitchA-vlan10] arp detection enable
[SwitchA-vlan10] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 20
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 100
# 配置网关的缺省路由。
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
4. 配置Switch B
# 创建VLAN20,并将相应端口加入VLAN20中。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
# 配置Switch B的上行口为DHCP snooping信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] dhcp-snooping trust
[SwitchB-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchB] dhcp-snooping
# 配置Switch B的上行口为ARP信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] arp detection trust
[SwitchB-Ethernet1/0/1] quit
# 开启VLAN 20内所有端口的ARP入侵检测功能。
[SwitchB] vlan 20
[SwitchB-vlan20] arp detection enable
[SwitchB-vlan20] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。
[SwitchB] interface Ethernet1/0/2
[SwitchB-Ethernet1/0/2] arp rate-limit enable
[SwitchB-Ethernet1/0/2] arp rate-limit 20
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet1/0/3
[SwitchB-Ethernet1/0/3] arp rate-limit enable
[SwitchB-Ethernet1/0/3] arp rate-limit 20
[SwitchB-Ethernet1/0/3] quit
[SwitchB] interface Ethernet1/0/4
[SwitchB-Ethernet1/0/4] arp rate-limit enable
[SwitchB-Ethernet1/0/4] arp rate-limit 20
[SwitchB-Ethernet1/0/4] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchB] arp protective-down recover enable
[SwitchB] arp protective-down recover interval 100
31 / 78
# 配置网关的缺省路由。
[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1
5. 配置Gateway
# 创建VLAN 10和VLAN 20,并添加相应端口。
[Gateway] vlan 10
[Gateway–vlan10] port Ethernet 1/0/1
[Gateway–vlan10] quit
[Gateway] vlan 20
[Gateway–vlan20] port Ethernet 1/0/2
[Gateway–vlan20] quit
# 配置Vlan-interface10的IP地址为192.168.0.1/24。
[Gateway] interface vlan 10
[Gateway-Vlan-interface10] ip address 192.168.0.1 24
[Gateway-Vlan-interface10] quit
# 配置Vlan-interface20的IP地址为192.168.1.1/24。
[Gateway] interface vlan 20
[Gateway-Vlan-interface20] ip address 192.168.1.1 24
[Gateway-Vlan-interface20] quit
6. 配置DHCP服务器
由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。具体配置请参考DHCP服务器操作手册。
1.5.5 注意事项
配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping功能,并设置DHCP Snooping信任端口,否则所有ARP报文将都不能通过ARP入侵检测。
目前,H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
目前,H3C系列以太网交换机在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLAN ID。因此,如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。
H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。具体表现在:如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同,则 32 / 78
覆盖DHCP Snooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的DHCP Snooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。
实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。
1.6 认证模式下的ARP攻击防御配置举例
1.6.1 组网需求
某校园网内大部分用户通过接入设备连接网关和外网的服务器。管理员希望通过客户端和服务器间的认证机制,在客户端绑定网关的IP/MAC对应关系,过滤掉仿冒网关的ARP攻击报文。详细网络应用需求分析如下:
接入用户可以通过DHCP自动获取IP地址,也可以手工配置静态IP地址。但需要安装802.1x客户端,即:通过802.1x认证才能访问网络。
服务器采用H3C公司的CAMS认证/授权、计费服务器;CAMS通过将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击。
接入交换机需要开启802.1x和AAA相关配置。
33 / 78
1.6.2 组网图
DHCP serverCAMSIP networkIP:20.10.1.1/16Eth1/0/3Vlan-int 10192.168.0.1/24Eth1/0/1Vlan-int 20192.168.1.1/24Eth1/0/2IP:10.10.1.1/16GatewayVLAN10Host area1Switch AEth1/0/1Eth1/0/3Eth1/0/2Eth1/0/1Eth1/0/4Swtich BVLAN20Host area2Eth1/0/2Eth1/0/3Host AHost BHost CHost DHost E
图1-8 认证模式下的ARP攻击防御组网示意图
1.6.3 配置思路
用户安装802.1x客户端,即需要通过802.1x认证才能访问网络。
接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。
通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击。
1.6.4 配置步骤
1. 配置SwitchA
# 创建VLAN 10,并添加相应端口。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/3
[SwitchA-vlan10] quit
# 设置RADIUS方案cams,设置主服务器。
[SwitchA] radius scheme cams
[SwitchA-radius-cams] primary authentication 10.10.1.1
[SwitchA-radius-cams] accounting optional
# 设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchA-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchA-radius-cams] user-name-format with-domain
#服务类型为extended。
34 / 78
[SwitchA-radius-cams] server-type extended
[SwitchA-radius-cams] quit
# 定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchA] domain abc
[SwitchA-isp-abc] radius-scheme cams
[SwitchA-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[SwitchA] domain default enable abc
# 交换机全局开启802.1x功能。
[SwitchA] dot1x
# 在端口Ethernet1/0/2下开启802.1x功能。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] dot1x
[SwitchA-Ethernet1/0/2] quit
# 在端口Ethernet1/0/3下开启802.1x功能。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] dot1x
[SwitchA-Ethernet1/0/3] quit
# 配置网关的缺省路由
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
2. 配置SwitchB
# 创建VLAN 20,并添加相应端口。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
# 设置RADIUS方案cams,设置主服务器。
[SwitchB] radius scheme cams
[SwitchB-radius-cams] primary authentication 10.10.1.1
[SwitchB-radius-cams] accounting optional
# 设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchB-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchB-radius-cams] user-name-format with-domain
#服务类型为extended。
[SwitchB-radius-cams] server-type extended
[SwitchB-radius-cams] quit
# 定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchB] domain abc
[SwitchB-isp-abc] radius-scheme cams
[SwitchB-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[SwitchB] domain default enable abc
# 交换机全局开启802.1x功能。
[SwitchB] dot1x
# 在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.1x功能。
35 / 78
[SwitchB] interface Ethernet1/0/2
[SwitchB-Ethernet1/0/2] dot1x
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet1/0/3
[SwitchB-Ethernet1/0/3] dot1x
[SwitchB-Ethernet1/0/3] quit
[SwitchB] interface Ethernet1/0/4
[SwitchB-Ethernet1/0/4] dot1x
[SwitchB-Ethernet1/0/4] quit
# 配置网关的缺省路由。
[SwitchB] ip route-static 0.0.0.0 0 192.168.11
3. 配置Gateway
# 创建VLAN 10和VLAN 20,并添加端口
[Gateway] vlan 10
[Gateway–vlan10] port Ethernet 1/0/1
[Gateway–vlan10] quit
[Gateway] vlan 20
[Gateway–vlan20] port Ethernet 1/0/2
[Gateway–vlan20] quit
# 配置Vlan-interface10的IP地址为192.168.0.1/24。
[Gateway] interface vlan 10
[Gateway-Vlan-interface10] ip address 192.168.0.1 24
[Gateway-Vlan-interface10] quit
# 配置Vlan-interface20的IP地址为192.168.1.1/24。
[Gateway] interface vlan 20
[Gateway-Vlan-interface20] ip address 192.168.1.1 24
[Gateway-Vlan-interface20] quit
4. 配置RADIUS Server(以CAMS 2.10-R0210版本为例)
(1) 在登录页面输入正确的用户名、密码登录CAMS服务器
(2) 创建服务类型
登录CAMS服务器配置平台,点击左侧的“服务管理”下的“服务配置”,进入“服务配置”界面,如图所示。
图1-9 服务配置页面
点击“服务配置”界面上方的“增加”按钮:
36 / 78
“基本信息”中设置服务名为“Host”。
“认证客户端配置”选择“仅限CAMS配套客户端”;“IP地址获取方式”选择“不限”。
图1-10 增加服务页面
点击确定,成功添加服务类型。
(3) 添加帐户用户(以组网图中用户“HostA”帐号的创建为例)
登录CAMS服务器配置平台,点击左侧的“用户管理”的“帐号用户”,进入“帐户管理”界面。
图1-11 用户帐户界面
点击“增加”按钮后:
37 / 78
设置用户为“HostA”,密码为“HostA@school”,用户姓名为“HostA”。
在“服务信息”一栏,选择服务名称“Host”。
图1-12 用户开户页面
点击确定完成用户添加。
(4) 接入设备配置
登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。
图1-13 系统配置页面
选择修改“接入设备配置”界面。点击页面下方的“增加”按钮,增加配置项。
配置接入用户的IP地址,共享密钥等信息,如下图所示。
38 / 78
图1-14 增加配置项页面
点击确定后,可以看到如下提示:
图1-15 操作成功提示
此时需要返回“系统配置”页面,点击“立即生效”。
图1-16 系统配置页面的立即生效按钮
(5) 用户网关配置
登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。
39 / 78
图1-17 系统配置页面
选择修改“用户网关配置”,可以增加或修改网关的地址等信息。
图1-18 用户网关配置页面
点击页面下方的“增加”按钮,增加配置项。(以认证模式下的ARP攻击防御组网示意图中,网关Vlan-interface1接口为例)
图1-19 用户网关配置列表页面
点击“确定”,返回“系统配置”页面,点击“立即生效”。完成用户网关配置。
5. 配置客户端
接入用户PC上需要安装H3C公司iNode客户端产品。具体配置如下。
(1) 启动客户端
40 / 78
图1-20 客户端页面
(2) 选择“802.1x协议”
点击下一步:
图1-21 新建802.1x连接
选择“普通连接”,点击“下一步”。
41 / 78
图1-22 选择普通连接
(3) 设置用户名和密码
点击下一步:
图1-23 设置用户名和密码
(4) 设置连接属性
42 / 78
点击下一步:
图1-24 设置连接属性
(5) 完成连接的创建
图1-25 连接创建成功
(6) 启动连接
43 / 78
图1-26 启动连接
1.6.5 注意事项
如果接入用户的网段过多,可能导致无法将全部网关的IP-MAC对应关系下发到认证客户端。CAMS服务器上“用户网关配置”的最大数目,和接入交换机最多支持的网关ARP信息的下发数目,请参考相应的产品规格。
接入交换机上RADIUS策略,需要配置为server-type extended。
堆叠管理配置
一二 组网需求:
1. SwitchA作为主堆叠交换机,使用堆叠方式对SwitchB和SwitchC管理;
2. SwitchA使用端口G1/1和G2/1上的堆叠模块,分别与SwitchB的G1/1和SwitchC的G1/1上的堆叠模块互连,每个端口都是Trunk端口,并且允许业务VLAN以及管理VLAN100通过。
一三 组网图:
44 / 78
一四 配置步骤:
集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令来修改交换机在集群管理中的管理VLAN。
3 Quidway 2000-EI、3000和H3C 3100-SI、5100 、3500系列交换机的配置
SwitchA配置:
1.创建VLAN100
[SwitchA]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchA]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet 1/1]port link-type trunk
[SwitchA-GigabitEthernet 1/1]port trunk permit vlan 100
4.进入堆叠端口G2/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchA]interface GigabitEthernet 1/2
[SwitchA-GigabitEthernet 1/2]port link-type trunk
[SwitchA-GigabitEthernet 1/2]port trunk permit vlan 100
5.配置堆叠管理使用的IP地址范围
[SwitchA]stacking ip-pool 100.1.1.1 16
6.建立堆叠
[SwitchA]stacking enable
SwitchB配置:
1.创建VLAN100
[SwitchB]vlan 100
2.将VLAN100配置为管理VLAN
45 / 78
[SwitchB]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet 1/1]port link-type trunk
[SwitchB-GigabitEthernet 1/1]port trunk permit vlan 100
4.建立堆叠
[SwitchB]stacking enable
SwitchC配置:
1.创建VLAN100
[SwitchC]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchC]management-vlan 100
3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchC]interface GigabitEthernet 1/1
[SwitchC-GigabitEthernet 1/1]port link-type trunk
[SwitchC-GigabitEthernet 1/1]port trunk permit vlan 100
4.建立堆叠
[SwitchC]stacking enable
4 H3C 3600系列交换机的配置
SwitchA配置:
1.使能端口G1/1,G1/2的堆叠功能
[SwitchA]fabric-port Gigabit Ethernet1/0/1 enable
[SwitchA]fabric-port Gigabit Ethernet1/0/2 enable
SwitchB配置:
1.使能端口G1/1的堆叠功能
[SwitchB]fabric-port Gigabit Ethernet1/0/1 enable
SwitchC配置:
1.使能端口G1/1的堆叠功能
[SwitchC]fabric-port Gigabit Ethernet1/0/1 enable
一五 配置关键点:
1.在主堆叠交换机上登录从堆叠交换机的命令为:[SwitchA]stacking num
注意该命令只能在主堆叠交换机上使用,如果从某个从堆叠交换机视图切换回主堆叠交换机视图,则只需输入quit即可;
2.对于H3C 5600系列交换机只要插上专用的堆叠电缆,会自动堆叠无需人工 46 / 78
操作
集群管理配置
一六 组网需求:
1.SwitchA作为集群管理交换机,对成员SwitchB和SwitchC进行集群管理;
2.SwitchA使用以太网端口E0/1和E0/2,分别与SwitchB和SwitchC的端口E0/24互连,互连端口都是Trunk端口,允许业务VLAN以及管理VLAN100通过;
3.此案例同时适用于以下产品:
H3C 3100-SI、5100、3500、3600、5600、3610、5510系列交换机
Quidway 3000、2000-EI系列交换机。
一七 组网图:
一八 配置步骤:
集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令来修改交换机在集群管理中的管理VLAN。
SwitchA配置:
1.创建VLAN100
[SwitchA]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchA]management-vlan 100
3.进入以太网端口E0/1,将其配置为Trunk端口,并允许管理VLAN100通过
[SwitchA]interface Ethernet 0/1
47 / 78
[SwitchA-Ethernet0/1]port link-type trunk
[SwitchA-Ethernet0/1]port trunk permit vlan 100
4.进入以太网端口E0/2,将其配置为Trunk端口,并允许管理VLAN100通过
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type trunk
[SwitchA-Ethernet0/2]port trunk permit vlan 100
5.启动集群功能
[SwitchA]cluster enable
6.进入集群视图,配置集群管理内部使用的IP地址,起始地址为100.1.1.1,共有16个地址
[SwitchA]cluster
[SwitchA-cluster]ip-pool 100.1.1.1 255.255.255.240
7.配置集群名字为huawei,并自动建立集群
[SwitchA-cluster]build H3C
[H3C_A-cluster]auto-build
SwitchB配置:
1.创建VLAN100
[SwitchB]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchB]management-vlan 100
3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过
[SwitchB]interface Ethernet 0/24
[SwitchB-Ethernet0/24]port link-type trunk
[SwitchB-Ethernet0/24]port trunk permit vlan 100
4.启动集群功能
[SwitchB]cluster enable
SwitchC配置:
1.创建VLAN100
[SwitchC]vlan 100
2.将VLAN100配置为管理VLAN
[SwitchC]management-vlan 100
3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过
48 / 78
[SwitchC]interface Ethernet 0/24
[SwitchC-Ethernet0/24]port link-type trunk
[SwitchC-Ethernet0/24]port trunk permit vlan 100
4.启动集群功能
[SwitchC]cluster enable
一九 配置关键点:
1.在管理设备上查看成员设备的命令:[SwitchA]display cluster member
在管理设备上登陆指定的成员设备的命令:
member-num以上两条命令只能在管理设备上成功执行。
高级篇
华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:
交换机配置(一)交换机端口限速
2000_EI系列以上的交换机都可以限速!
限速不同的交换机限速的方式不一样!
2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
端口限速配置
1功能需求及组网说明
端口限速配置
『配置环境参数』
1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24
『组网需求』
1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤
『S2000EI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1. 进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
【补充说明】
49 / 78