通过 Traffic-Filter 过滤流量，能够灵活地选择部署位置，在流量进入设备（Inbound）或离开设备（Outbound）的接口上执行过滤动作，双向访问的业务禁止其中一个方向即可实现阻断业务的需求。

Traffic-Filter 部署的位置不同，其调用的 ACL 内容也不相同。[……]

READ MORE

案例：通过基本 ACL 过滤数据流量

配置需求： 在 Router上 部署基本ACL后，ACL将试图穿越Router的源地址为 192.168.1.0/24 网段的数据包过滤掉，并放行其他流量，从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
配置方法：

// 在 Router 上，创建基本 ACL 规则：禁止192.168.1.0/24网段访问服务器网络
// 然后，进入 GE0/0/1 接口，并应用规则：所以在接口GE0/0/1的入方向配置流量过滤

[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

案例：通过高级 ACL 限制不同网段的用户互访

配置需求
1）某公司通过Router实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。 2）现要求Router能够限制两个网段之间互访，防止公司机密泄露。
配置方法

// 创建高级 ACL 3001 并配置 ACL 规则，拒绝研发部访问市场部的报文
// 并从 GE0/0/1 直接阻断去往 10.1.2.0 的流量

[Router] acl 3001
[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001

// 创建高级ACL 3002并配置ACL规则，拒绝市场部访问研发部的报文：
// 并从 GE0/0/2 直接阻断去往 10.1.1.0 的流量

[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2][……]

READ MORE

问题描述
1946 年，第一台电子计算机的发明，为人类打开的信息化时代的大门，也为信息通信技术的发展奠定了基础；
日新月异的信息通信技术，不断地改变着人们的生活方式，在过去的几年，以物联网、大数据、云计算、人工智能为代表的新一代 ICT 技术逐渐成为驱动社会和经济转型升级的重要引擎，渗透到各行各业中；
万物互联（人与人、人与物、物与物互联，本质是数据的联结和计算），来共同构造数字化世界。到 2025 年，会由 500 亿连接数：90% 数据来自物联传感器，80 亿+ 全球范围的智能电话，5 亿可穿戴设备，1.7 GB 每个连接每天数据消费……
该部分笔记将记录：从整体上了解数通网络环境、其中所采用的技术，以及现有解决方案；
解决方案
数通网络，是“万物” 联结的管道，是实现数据交互的基础设施，是打造数字世界的基石，新的 ICT 技术导致数据流量以及存储爆发式的增长，也为数通网络带来了更大的挑战，为应对挑战，各大厂商不断优化网络解决方案，以匹配数字化转型诉求；

企业数通网络全景概览

从应用领域，企业网络可分为等多个领域： 1）Campus（园区）、WLAN； 2）Data Center（数据中心）； 3）WAN（广域网）；
我们将从将从解决方案角度学习数通网络在各领域的分类、架构、典型应用场景、趋势挑战以及华为在该领域的解决方案；
数通：是联结领域真正成网的产业，部署在网络的各个层级，犹如江河湖海； 5G 接入和家宽接入：犹如支流，园区网络好比池塘； 城域网：好比长江的大型支流，如金沙江；骨干网好比长江； 核心数据中心：是太平洋，区域数据中心是大型湖泊，如鄱阳湖，接入数据中心是水库；[……]

READ MORE

问题描述
城市，除了马路，都是园区 —— 园区是一个广义的概念，我们的日常活动多是在园区中进行，在这里“园区”的定义是非常宽泛的，城市中 90%的活动，都发生在园区内，大部分数据从园区汇聚
该笔记将记录：园区网络的总体架构、网络各层次中所使用的常用技术及协议、典型的组网场景；
解决方案
Campus Network（园区网络），通常是指企业或机构的内部网络，与广域互联、数据中心相关。诸如 工厂、政府机关、商场、写字楼、校园、公园 等等，这些场所内为了实现数据互通而搭建的网络，都可以称之为园区网；
建网目的
园区网络的主要目的：使企业或机构的各项业务运作更有效率；
网络规模
园区有大有小，有行业属性的不同，相应地，园区网络也变化多样；
按规模，可以将园区网络划分成： 1）大型园区网络：终端用户数量 > 2000 个；网元数量 > 100 个； 2）中型园区网络：2000 > 终端用户数量 > 200；100 > 网元数量 > 25； 3）小型园区网络：终端用户数量 < 200 个；网元数量 < 25 个；
有些企业还存在不同地域的办公分支机构，每个分支机构网络可看做一个单园区网络；
不同规模的网络，其需求及痛点各不相同；[……]

READ MORE

园区网络架构（概览）

数据中心：对内服务的数据，仅内部使用；
DMZ：对外访问的服务；
核心层：转发流量，对性能要求较高；
模块设计

网络扩展

使用 VPN，或者专线网络（价格成本高）来扩充网络；
性能提升

配置优化、设备冗余，来提升网路性能；
安全保障

内部网络安全：防火墙、准入技术（终端设备的访问认证、终端设备的健康检查）
外部网络安全：通过网络设备
网络管理

eSight：华为网关系统，管理所有网络设备；
常见的行业园区网
为了满足不同行业园区的需求，园区网络架构会根据其服务的行业特点进行设计， 最终打造的是带有行业属性的园区网络方案；

企业园区网络
1）关注网络可靠性、先进性，持续提升员工的办公体验，保障运营生产的效率和质量；
下一代企业网结构：
私有云：企业内部部署云服务 公有云：第三方提供的云服务； 混合云：私有云 + 公有云；
校园园区网络
1）分为普教园区和高教园区； 2）高教园区相对复杂，通常存在教研网、学生网，还可能有运营性的宿舍网络； 3）网络可管理性、安全性要求高；对网络先进性亦有要求；
校园网是为学校师生（以及家属、访客等）提供教学、科研和综合信息服务的计算机网络； 高教校园网特指高等教育院校的校园网； 高教园区网一般分为宿舍区 / 生活区 / 教学区 / 公共区等，通过有线、无线的方式提供网络接入服务，帮助校园进入数字化时代，提升学校人才培养及创新能力；

Cernet 一般指中国教育和科研计算机网。中国教育和科研计算机网（China Education and Research Network）简称 CERNET，是由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和管理运行的全国性学术计算机互联网络；
政务园区网络
1）通常指政府机构的内部网络； 2）安全要求极高，通常采用内网和外网隔离的措施保障涉密信息的绝对安全；
商业园区网络
1）商场、超市、酒店、公园等； 2）网络主要用于服务消费者，此外还包含服务内部办公的子网； 3）提供上网服务，并构建商业智能化系统提升用户体验，降低运维成本，提升商业效率，实现价值转移；[……]

READ MORE

解决方案
无论如何变化，园区网络一般划分为出口层、核心层、汇聚层及接入层；

终端层（Terminal Layer）
终端层是指接入园区网络的各种终端设备，例如电脑、打印机、IP 话机、手机、摄像头等；
接入层（Access Layer）
为终端用户提供园区网接入功能，是园区网的边界： 1）接入层为用户提供各种接入方式，是终端接入网络的第一层； 2）接入层通常由接入交换机组成，接入层交换机在网络中数量众多，安装位置分散，通常是低端二层交换机； 3）如果终端层存在无线终端设备，接入层需要无线接入点 AP 设备，AP 设备通过接入交换机接入网络；
设备：有线网络、低端二层交换机、无线接入点（AP） ；
协议：VRRP、MSTP、VLAN、Voice VLAN
汇聚层（Aggregation Layer）
处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、安全等；
设备：三层交换机（负责连接二层与三层）
协议：IGP（OSPF、ISIS）、LLDP、链路聚合、交换机堆叠（iStack）
核心层（Core Layer）
是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等；
设备：高端交换机
协议：IGP（OSPF、ISIS）、LLDP、WLAN AC（802.11）、SNMP、NETCONF（YANG）、
出口区（Campus egress zone）
园区内部网络到外部网络的边界，用于实现内部用户接入到公网，外部用户（包括客户、合作伙伴、分支机构、远程用户等）接入到内部网络；
设备：防火墙、出口路由器
协议：NAT、VPN、EGP（BGP）、
数据中心区（DC zone）
部署服务器和应用系统的区域，为企业内部和外部用户提供数据和应用服务；
网管运维区（Network management zone）
部署网络管理（例如网管系统、认证服务器等）和运维系统的区域；
非军事区（DMZ）
非军事区（DMZ）为外部访客（企业员工以外的人员）提供安全严格控制的接入服务。公共服务器通常部署在DMZ 中。
参考文献
Network Architecture Design – CloudCampus Solution V100R019C10 Deployment Guide for Large- and Medium-Sized Campus Networks (Non-virtualization Scenario) – Huawei[……]

READ MORE

园区边界
通过防火墙设备，实现不同安全区域之间的划分及业务隔离、安全管控； 通过 Anti-DDoS 设备，抵御 DDoS 攻击； 通过 IPS 设备，进行入侵检测及安全态势感知；
网络地址转换（NAT）
内网用户（采用私网 IP 地址）需访问 Internet，需对其源 IP 地址进行转换，转换为公网 IP 地址；
外网用户需访问采用私网 IP 地址的服务器（例如 WEB 服务器） ⇒ 作为辅助手段，避免服务器整个暴露在公网；
核心层、汇聚层
对不同的业务进行隔离部署、互访流量管控； 按需部署网络准入控制； 部署设备本机防攻击，提高设备抗攻击能力；
接入层
建议开启广播风暴控制、DHCP Snooping、IP Source Guard、DAI 等安全功能； 建议部署 Port Isolation（端口隔离），加强用户通信安全； 部署 NAC（网络准入控制），对接入园区的用户的身份或终端进行认证，并根据结果授予网络访问权限； 部署无线空口安全及无线业务安全；[……]

READ MORE

问题描述
随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究证明，80% 的网络安全漏洞都存在于网络内部，它们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪；
非法用户随意接入园区内部网络，会危害园区的信息安全； 接入园区网络的终端种类多，且园区内用户行为难以管控； 出于对安全问题的考虑，园区网络不能对所有终端开放访问权限，需要基于终端对应的用户身份和终端状态进行认证，不符合条件的终端不能接入网络；
从安全角度来分析，目前大部分的园区内部网络中，主要存在如下安全问题： 1）防病毒软件未实现集中管理，补丁管理混乱，企业即便购买了防病毒软件，但很难保证所有的终端其病毒特征库都是最新的，导致一旦某台终端感染病毒或恶意代码，很快会在内网泛滥； 2）无法识别用户的身份，无法识别非法接入用户，导致网络存在安全隐患； 3）缺乏对接入终端的访问控制，只要用户接入网络，就能够自由地访问整个网络；
如何确认终端身份合法并保证终端安全？如何确保合法终端获得正确的授权？
解决方案
NAC（网络接入控制，Network Admission Control），通过对接入网络的客户端及用户进行认证，来保证网络的安全，是种“端到端”的安全技术；
原理简述
用于用户和接入设备之间的交互； NAC 负责控制用户的接入方式（802.1X，MAC，Portal 认证），接入过程中的各类参数和定时器； 确保合法用户和接入设备建立安全稳定的连接；
特性特征
NAC 的两大主要内容：用户认证；终端安全；
NAC 从对接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性；
NAC 以“只有合法的用户、安全的终端才可以接入网络”为主导思想，通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力；
应用场景
WIP[……]

READ MORE

系统组成部分

NAC-TRM（用户终端，NAC Terminal）
NAC-TRM 上一般安装有终端代理（或叫客户端软件），其与 NAC-SRV 联动进行用户身份认证、终端安全检查、系统修复升级，终端行为监控审计等工作；
各种终端设备，例如 PC、手机、打印机、摄像头等；
NAC-DEV（网络准入设备，Network Access Device）
终端访问网络的认证控制点，准入设备对接入用户进行认证，是园区安全策略的实施者，按照网络指定的安全策略实施相应的准入控制（如允许接入网络或拒绝接入网络）；
准入设备可以是：交换机、路由器、无线接入点、VPN 网关或其他安全设备；
具备功能特性：用户身份认证；在各种常见认证方式（如 802.1X、MAC、Portal）下， NAC-DEV 辅助客户端软件与 NAC-SRV 进行认证；实现用户权限控制；
NAC-SRV（准入服务器，Access Server）
NAC-SRV 的功能是实现对用户的认证和授权，用于确认尝试接入网络的终端身份是否合法，还可以指定身份合法的终端所能拥有的网络访问权限 NAC-SRV 通常有认证服务器（如 RADIUS-SRV） 和用户数据源服务器（存储用户的身份信息）；
NAC-SRV 包括准入安全控制服务器、安全管理服务器、必要的病毒库服务器、补丁服务器： 1）安全控制服务器，主要进行用户认证和安全审核，实施安全策略，并且与 NAC-DEV 联动，下发用户权限； 2）安全管理服务器，主要进行用户管理，包括增加、删除、修改用户权限及用户部门配置，及安全策略的定制和管理等； 3）病毒库服务器，主要用于控制各种终端上的防病毒软件的病毒库的自动更新； 4）补丁服务器，主要用于控制各种终端上的操作系统和应用软件的补丁安装和更新；
交互流程概述

用户身份认证请求： NAC-DEV 通过和 NAC-TRM 进行报文交互，获取 NAC-TRM 的身份凭证， NAC-TRM 发送自己的身份凭证给准入设备；
用户身份认证： NAC-DEV 将身份凭证发送给 NAC-SRV 进行身份认证；
用户身份校验：NAC-SRV 储用户的身份信息，提供用户管理功能。 NAC-SRV 收到 NAC-TRM 的身份凭证后，进行身份校验，确定 NAC-TRM 身份是否合法，并将校验结果及策略下发给准入设备；
用户策略授权： NAC-DEV 作为策略的实施者，根据 NAC-SRV 的授权结果对 NAC-TRM 实施策略的控制，比如允许或者禁止 NAC-TRM 访问网络；或者对 NAC-TRM 进行更加复杂的策略管控，如提高或降低 NAC-TRM 转发优先级、限制用户的网络访问速率；
补充说明： 1）该图[……]

READ MORE

终端认证基本流程

1）NAC-TRM 接入网络，认证前都具有认证前域网络权限，包括访问准入控制服务器、DHCP、DNS 等； 2）对 NAC-TRM 进行身份认证，通过后， NAC-SRV 下发网络权限到 NAC-DEV ，允许该用户访问认证后域网络。对于一些合法但是不安全的用户，身份认证后， NAC-SRV 下发隔离域网络权限到 NAC-DEV ，仅允许该用户访问隔离域网络，用户安全修复后，重新下发认证后域网络权限。在隔离域时，用户可以根据需要进行终端代理软件安装，补丁安装，杀毒软件安装、升级等操作； 3）当认证通过后，用户便能够访问认证后域；对于非法用户及未认证用户，仅允许访问认证前域或隔离域网络资源；
用户认证（认证方式）
三种认证方式（概述）
NAC 包括三种认证方式：802.1X 认证、MAC 认证、Portal 认证；
AAA 负责最后的认证，可以通过多种协议来实现。在实际应用中，最常使用 RADIUS 协议：

802.1X ——-*
|
MAC ——-*======> RADIUS Server
|
Portal ——-*

由于三种认证方式认证原理不同，各自适合的场景也有所差异。在实际应用中： 1）可以根据场景部署某一种合适的认证方式， 2）也可以部署几种认证方式组成的混合认证，混合认证的组合方式取决于设备的实际支持情况；
三种认证方式（对比）
802.1X 认证： 1）适合场景：新建网络、用户集中、信息安全要求严格的场景 2）终端要求：需要（主要原因是客户端简化操作，简化用户交互） 3）优点：安全性高 4）缺点：部署不灵活，复杂度高；
MAC 认证： 1）适合场景：打印机、传真机等哑终端接入认证的场景； 2）终端要求：不需要； 3）优点：无需安装客户端； 4）缺点：需登记 MAC 地址，管理复杂；
Portal 认证： 1）适合场景：用户分散、用户流动性大的场景 2）终端要求：不需要； 3）优点：部署灵活 4）缺点：安全性不高
免认证（free-rule）
用户认证成功之前，为满足用户基本的网络访问需求，譬如下载 802.1X 客户端、更新病毒库等，需要用户免认证就能获取部分网络访问权限；

免认证规则模板（free-rule-template） 方式 1：普通的免认证规则，由 IP 地址、MAC 地址、源接口、VLAN 等参数确定； 方式 2：关联 ACL，使用 ACL 方式配置免认证规则时，使用的 ACL 编号范围：6000～6031；
终端安全
WIP[……]

READ MORE

Portal 认证也称为 Web 认证。用户可以通过 Web 认证页面，输入用户帐号和密码信息，实现对终端用户身份的认证；
解决方案
Portal 认证通常也称为 Web 认证，一般将 Portal 认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。将浏览器作为认证客户端，不需要安装单独的认证客户端；
当用户上网时，必须在 Portal 页面进行认证，只有认证通过后才可以使用网络资源，同时服务提供商可以在 Portal 页面上开展业务拓展，如展示商家广告等；
特性特征
操作简单：客户端不需要安装额外的软件，直接在 Web 页面上认证，简单方便； 便于运营：可以在 Portal 页面上进行业务拓展，如广告推送、企业宣传等； 技术成熟：被广泛应用于运营商、连锁快餐、酒店、学校等网络； 部署灵活：可以在接入层或关键数据的入口作访问控制； 管理灵活：可基于用户名与 VLAN/IP 地址 /MAC 地址的组合对用户进行认证；
应用场景
对于大中型企业的访客、商业会展和公共场所，推荐使用 Portal 认证；
常用的 Portal 认证方式如下： 1）用户名和密码方式：由前台管理员给访客申请一个临时账号，访客使用临时账号认证； 2）短信认证：访客通过手机验证码方式认证；
Portal 认证不需要安装专门的客户端软件，因此主要用于无客户端软件要求的接入场景或访客接入场景；
组网方式
包含认证客户端、 NAC-DEV 、 Portal-SRV 、认证服务器；

客户端：一般情况下，客户端是安装有浏览器（支持 HTTP/HTTPS）的主机；
NAC-DEV ：交换机、路由器等 NAC-DEV 的统称，主要有三方面的作用： 1）在认证之前，将认证网段内用户的所有 HTTP/HTTPS 请求都重定向到 Portal-SRV； 2）在认证过程中，与 Portal-SRV 、认证服务器交互，完成对用户身份认证、授权与计费的功能； 3）在认证通过后，允许用户访问被管理员授权的网络资源；
Portal-SRV ：接收客户端认证请求的服务器系统，提供门户（Portal）服务和认证界面，与 NAC-DEV 交互客户端的认证信息；
认证服务器：与 NAC-DEV 进行交互，完成对用户的认证、授权与计费；
触发方式
用户可通过两种方式实现认证页面访问： 1）主动认证：用户通过浏览器主动访问 Portal 认证网站； 2）重定向认证：用户输入的访问地址不是 Portal 认证网站地址，被 NAC-DEV 强制访问 Portal 认证网站（通常称为重定向）；
客户端认证流程
需根据[……]

READ MORE

802.1X 是 IEEE 制定的关于用户接入网络的认证标准，主要解决以太网内认证和安全方面的问题；
原理简述
802.1X 认证是一种基于端口的网络接入控制协议，即在 接入设备的端口 这一级验证用户身份并控制其访问权限；

特性特征
WIP
应用场景
适用于对安全要求较高的办公用户认证场景； 对于大中型企业的员工，推荐使用 802.1X 认证；
组网方式（网络结构）
802.1X 认证系统为典型的 Client/Server 结构，包括 3 个实体： 1）请求方（客户端）：802.1X 客户端一般为用户终端设备，用户可以通过启动客户端软件发起 802.1X 认证； 2）认证方（接入设备）：网络接入设备通常为支持 802.1X 认证的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口； 3）认证服务器：通常是 RADIUS 服务器，用于对申请者进行认证、授权和计费；

在客户端与设备端间
802.1X 认证使用 EAPoL（Extensible Authentication Protocol over LAN，局域网可扩展认证协议），实现客户端与设备端间认证信息的交换。EAPoL 定义了在 IEEE 802（例如 802.3 和 802.11 等）网络上的 EAP 封装，EAPoL 只负责在 802.1X 客户端和接入设备之间传送 EAP 报文，不负责实现具体的认证功能；
EAP 报文使用 EAPoL 封装格式，直接承载于 LAN 环境中。802.1X 认证系统使用 EAP（可扩展认证协议，Extensible Authentication Protocol）来实现申请者、认证方、认证服务器之间的信息交互；
常见的 EAP 认证协议有 EAP-TLS (Transport Layer Security，传输层安全性协议)、EAP-TTLS (Tunneled Transport Layer Security，隧道传输层安全)、EAP-PEAP (Protected Extensible Authentication Protocol，防护扩展验证协议)、EAP-MD5 (Message Digest Algorithm 5，消息摘要算法第五版)等；
常用的 802.1X 认证协议其区别如下： 1）PEAP：管理员给用户分配用户名、密码，而用户在接入时输入用户名、密码进行认证； 2）TLS：用户使用证书进行认证，此认证方式一般结合企业 App 使用，如 Huawei EasyAccess 等；
在网络接入设备与认证服务器间
用户可以根据客户端支持情况和网络安全要求来决定采用的认证方式： 1）在 EAP 终结方式中，EAP[……]

READ MORE

问题描述
前面的 Authentication（认证）用于确认尝试接入网络的用户身份是否合法。然而，即使 NAC-TRM 通过认证接入网络，也并不意味着可以访问网络内的所有资源，而是需要基于用户身份对其加以区分，分别赋予其不同的网络访问权限。
解决方案
而 Authorization（授权）则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。
以 RADIUS-SRV 授权为例，常见的授权信息有： 1）VLAN：为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。 2）ACL：用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。 3）UCL Group：UCL（User Control List，用户控制列表）Group 是网络成员的集合。UCL Group里面的成员，可以是 PC、Phone 等网络终端设备。借助UCL Group，管理员可以将具有相同网络访问策略的一类用户划分为同个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL Group的网络控制方案能够极大的减少管理员的工作量。

补充说明： 1）虽然认证服务器下发授权信息，但是认证服务器下发的是授权规则的索引（比如 ACL 的 ID 值），而具体的授权策略需要预先在 NAC-DEV 中预先配置；
认证事件授权
在认证过程中，用户会遇到不同事件时（如认证前、认证失败、认证服务器失效等），需要拥有一定的权限。
根据认证事件授权的方式（一般是非认证成功状态的授权），又被称为逃生，对于不同的认证方式，有不同的逃生方案，有些逃生方案是共有的，有些逃生方案只有特定的认证方式才支持。详细内容请查阅相应产品文档中“NAC逃生”相关内容。

授权参数： 1）VLAN：授予用户相应VLAN内的资源访问权限。 2）用户组（UCL Group）：根据用户组对具有相同特征的用户进行权限下发。 3）业务方案（service-scheme）：可在业务方案内绑定UCL Group、VLAN、QoS-profile等参数。[……]

READ MORE

问题描述
在 NAC-DEV 中，需要部署认证策略，同时有利于实现权限的细颗粒度管理和网络的高安全性。但当网络规模不断扩大，一些问题就显现了出来；
接入层设备作为认证点

接入层网元设备数量多，每台设备都需要配置，所以配置工作量大，运维难度大； 接入层设备数量多，将增加 AAA 服务器的负担； 用户必须在固定位置接入网络；
认证点从接入层上移
解决方案之一是将用户的认证点从接入层上移到汇聚层或核心层，如此一来全网的认证信息集中，且认证点数量大大减少，配置及维护工作量降低；
1）接入层设备需透传 BPDU 报文，否则用户的 802.1X 认证将失败，但是接入层设备不一定支持透传；原因：802.1X 认证过程中的 EAP 协议报文，是一种 BPDU 报文。对于 BPDU 报文，华为交换机设备当前缺省不做二层转发。因此如果使能 802.1X 的设备和用户之间还存在二层交换机，就必须在二层交换机上配置二层透明传输，否则用户发送的 EAP 报文将无法到达认证设备，进而无法通过认证； 2）用户准入的管控位置太高：同一接入层设备上相同 VLAN 用户之间的访问不受控制，即同个接入层用户能够互访，难以控制； 3）用户接入的具体位置无法感知：用户可能在不同接入层设备，不易于故障定位； 4）网关设备无法实时感知用户下线：只有接入层设备能感知，但是接入层设备不参与认证；
解决方案
策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案；
原理简述

设备角色
终端：负责向用户提供人机接口，帮助用户进行认证和资源访问。包括 PC、便携机、平板电脑、哑终端等；
认证接入设备（Authentication access device）：认证执行点，负责执行用户的网络访问策略。即用户完成认证之后访问网络时，执行对应的访问策略，如用户所属 VLAN、ACL、UCL 组等；
认证控制设备（Authentication control device）：认证控制点，负责对用户进行认证以及控制用户的网络访问策略。即对接入网络的用户身份进行合法性认证，并指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源；
交互过程
1）认证控制点与认证执行点之间建立 CAPWAP（Control And Provisioning of Wireless Access Points）隧道； 2）通过 CAPWAP 完成认证控制设备和认证执行设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理；
当部署策略联动后，接入设备可以自动透传 BPDU 报文、实时上报用户下线和用户接入位置，同时[……]

READ MORE

用户接入认证配置思路（Huawei）

VAP：Virtual Access Point，虚拟接入点。 VAP模板：在VAP模板下配置各项无线（WLAN）参数，然后在AP组或AP中引用VAP模板，AP上就会生成VAP，VAP用来为STA（无线终端）提供无线接入服务。
配置案例

创建/进入认证模板
[Huawei] authentication-profile name authentication-profile-name
设备通过认证模板下的参数配置，实现为不同用户进行不同的接入控制。认证模板配置之后，需要被应用到接口或VAP模板下来使能NAC。

配置认证模板下绑定的接入模板
[Huawei-authen-profile-ProfileName] dot1x-access-profile access-profile-name
[Huawei-authen-profile-ProfileName] mac-access-profile access-profile-name
[Huawei-authen-profile-ProfileName] portal-access-profile access-profile-name
可以在认证模板下根据需要绑定相应的接入模板。当绑定超过一个接入模板，即采用混合认证，绑定接入模板的顺序没有限制，设备先接收到哪种认证报文，就会优先触发哪种认证。一个认证模板同时最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。

使能MAC旁路认证功能
[Huawei-authen-profile-ProfileName] authentication dot1x-mac-bypass
MAC旁路认证功能包含了802.1X认证和MAC认证两部分。使用该功能前，需要保证认证模板下已经绑定了802.1X接入模板和MAC接入模板。

配置用户的默认域或强制域。
[Huawei-authen-profile-ProfileName] access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ]
设备对用户的管理通过域来实现。force参数指定配置的域为强制域。若不指定该参数，配置的域为默认域。dot1x、mac-authen 、portal参数分别指定不同用户的默认域或强制域。命令配置情况与认证域对应情况如下：
配置默认域：设备根据用户名中携带的域名进行认证，未携带域名则将该用户在默认域中进行认证。
配置强制域：无论用户名中是否携带域名，都将用户在强制域中进行认证。

配置静态用户

在网络部署中，对于打印机等哑终端，管理员一般都是为其分配静态IP地址。对于这类用户[……]

READ MORE

问题描述
在大型园区网中，接入层设备众多导致部署用户访问控制策略时工作量巨大且策略调整不灵活。 因此，客户希望可以在网关上集中部署NAC认证和配置用户的访问策略，而在接入设备上执行用户的访问策略，以简化接入层设备部署。
补充说明：该案例是华为 PPT 的案例，我们在此记录和学习；
解决方案

综合考虑网络情况与需求，认证规划如下： 1）网关设备SW1作为控制设备，SW2作为接入设备。 2）在控制设备上对用户进行认证并在接入设备中执行用户访问策略。 3）VLAN 10为用户VLAN，VLAN 20为CAPWAP隧道的管理VLAN；用户的接入认证方式以802.1X认证为例。
数据规划
RADIUS服务器 IP地址：192.168.4.30 网关交换机（控制设备，SW1） 上联接口所属的VLAN：VLAN 30 下行接口GE0/0/1所属VLAN：VLAN 10（用户VLAN），VLAN 20（管理VLAN） 接入交换机（SW2） 用户所属的VLAN ID：10 RADIUS方案 认证服务器IP地址：192.168.4.30 认证服务器端口号：1812 RADIUS服务器共享密钥：Huawei@2020 认证域：nac 认证后域ACL编号 3001 访问权限 禁止访问192.168.5.0/24网段资源
1、创建VLAN并配置接口允许通过的VLAN。（略）
2、在控制设备上配置接口地址池VLANIF10为用户分配IP地址。

[SW1] dhcp enable

[SW1] interface vlanif 10
[SW1-Vlanif10] ip address 192.168.1.1 255.255.255.0
[SW1-Vlanif10] dhcp select interface
[SW1-Vlanif10] quit

3、在控制设备和接入设备上建立CAPWAP隧道。

[SW1] interface vlanif 20
[SW1-Vlanif20] ip address 192.168.2.1 255.255.255.0
[SW1-Vlanif20] dhcp select interface
[SW1-Vlanif20] dhcp server option 43 ip-address 192.168.2.1

[SW1] capwap source interface vlanif 20
[SW1] as-auth
[SW1-as-auth] auth-mode none

[SW2] interface vlanif 20
[SW2-Vlanif20] ip address dhcp-alloc

[SW2] as access interface[……]

READ MORE

问题描述
目前 DHCP 协议在应用的过程中遇到很多安全方面的问题，网络中存在一些针对 DHCP 的攻击，如 DHCP Server 仿冒者攻击、DHCP Server 的拒绝服务攻击、仿冒 DHCP 报文攻击等等；
解决方案
引入 DHCP Snooping 技术，以保证网络通信业务的安全性，在 DHCP Client 和 DHCP Server 间，DHCP Snooping 建立一道防火墙，以抵御网络中针对 DHCP 的各种攻击；
DHCP Snooping 是 DHCP 的一种安全特性，用于保证 DHCP Client 从 合法的 DHCP Server 获取网咯地址；
原理简述
DHCP Snooping 主要是通过 DHCP Snooping 信任功能 和 DHCP Snooping 绑定表 实现 DHCP 网络安全： 1）信任功能：能够保证 DHCP Client 从合法的 DHCP Server 获取网络地址； 2）绑定表：设备在其中记录 DHCP Client 的 网络地址 与 物理地址 等参数的对应关系，防止网络上针对 DHCP 攻击；
信任功能
DHCP Snooping 信任功能，能将接口分为两类：
信任接口： 1）通常连接 DHCP Server； 2）正常接收 DHCP Server 响应的 DHCP ACK、DHCP NAK、DHCP Offer 报文；
非信任接口： 1）通常连接 DHCP Client；对于 DHCP Client 的请求报文，设备只会通过信任接口发送给合法的 DHCP Server，不会转发到非信任接口； 2）非信任接口收到的 DHCP Server 发送的 DHCP OFFER、DHCP ACK、DHCP NAK 报文会被直接丢弃；

绑定表
当使能 DHCP Snooping 功能后，该二层接入设备： 1）将从收到 DHCP ACK 报文中提取关键信息（包括 PC 的 MAC 地址、获取到的 IP-ADDR、地址租期） 3）并获取与 PC 连接的使能 DHCP Snooping 功能的接口信息（包括接口编号及该接口所属的 VLAN），根据这些信息生成 DHCP Snooping 绑定表； 2）根据 DHCP 租期进行老化 或 根据用户释放 IP-ADDR 时发出的 DHCP Release 报文自动，DHCP Snooping 绑定表来删除对应表项；
鉴于 DHCP Snooping 绑定表记录 DHCP Client IP-ADDR 与 MAC-ADDR 等参数的对应关系，故通过对报文与 DHCP Snooping 绑定表进行匹配检查，能够有效防范非法用户的攻击；

补充说明： 1）DHCP[……]

READ MORE

问题描述
在地址欺骗攻击中，攻击者通过伪造合法用户的网络地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露；
解决方案
IPSG（IP 源防攻击，IP Source Guard）是针对地址欺骗攻击的防御机制，基于二层接口的 SRC-IP-ADDR 过滤技术，可以有效阻止此类网络攻击行为；
原理简述

通过在 Switch Inbound 接口或 VLAN 上部署 IPSG 功能，当非法主机伪造合法主机的网络地址获取上网权限时，Switch 可以对进入接口的 IP 报文进行检查，丢弃非法主机的报文，从而阻止此类攻击；
绑定表
该绑定表与 DHCP Snooping 的绑定表是同张表。
通过绑定表（SRC-IP-ADDR、SRC-MAC-ADDR、所属 VLAN、入接口的绑定关系），IPSG 去匹配检查二层接口上收到的 IP 报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃；
常见的绑定表有： 1）静态绑定表项包含：MAC-ADDR、IP-ADDR、VLAN ID、入接口。在静态绑定表项中，指定的信息均用于 IPSG 过滤接口收到的报文； 2）动态绑定表项包含：MAC-ADDR、IP-ADDR、VLAN ID、入接口。IPSG 依据该表项中的哪些信息过滤接口收到的报文，由用户设置的检查项决定，缺省是四项都进行匹配检查。常用的检查项有：基于 SRC-IP-ADDR 过滤、基于 SRC-MAC-ADDR 过滤、基于 SRC-IP-ADDR + SRC-MAC-ADDR 过滤、基于 SRC-IP-ADDR + SRC-MAC-ADDR + 接口 过滤、基于 SRC-IP-ADDR+SRC-MAC-ADDR+接口+VLAN 过滤等；

如果没有绑定表，若使能 IPSG，缺省情况，除 DHCP 请求报文外，设备将拒绝所有其他 IP 报文； 当绑定表生成后，IPSG 基于绑定表向指定的接口或者指定的 VLAN 下发 ACL，由该 ACL 来匹配检查所有 IP 报文。主机发送的报文，只有匹配绑定表才会允许通过，不匹配绑定表的报文都将被丢弃； 当绑定表变化时，设备会重新下发 ACL；
特性说明
防止伪造地址：能够防止恶意主机伪造合法主机的 IP-ADDR 来仿冒合法主机 防止私用地址：还能确保非授权主机不能通过自己指定 IP-ADDR 的方式来访问网络或攻击网络；
通常部署在与用户直连的接入设备上，可以基于接口或者基于 VLAN 应用；
应用场景
1）通过 IPSG 防止 PC 私自更改 IP-ADDR：PC 只能使用 DHCP Server 分配的 IP-ADDR 或者管理员配置的静态地址，随意更改 IP-ADDR 后无法访问网络[……]

READ MORE

问题描述
MAC-ADDR-Flaping 是指在交换机上同个 VLAN 内有两个端口学习到同个 MAC-ADDR，原有的 MAC-ADDR-Table-Entry 被后学习到的覆盖的现象；
当同个 MAC-ADDR 在两个端口间频繁发生迁移时，即会产生 MAC-ADDR-Flapping 现象；

解决方案
在网络正常情况下，不会在短时间内出现大量 MAC-ADDR-Flapping 的情况。出现这种现象一般都意味着：网络中存在环路；或者存在网络攻击行为；
环路导致
如果是环路引发 MAC-ADDR-Table-Entry，治本的方法是部署防环技术（例如 STP 等等），来消除二层环路；
网络攻击
如果由于网络攻击等其他原因引起，则可使用如下特性来防治：
接口 MAC-ADDR 学习优先级
在交换机的两个接口间，当发生 MAC-ADDR 漂移时，可将其中某个接口的 MAC-ADDR 学习优先级提高；
当同个 MAC-ADDR 被两个接口学习到后，接口 MAC 地址学习优先级高的会被保留，MAC 地址学习优先级低的被覆盖； 缺省，接口 MAC-ADDR 学习的优先级均为 0，数值越大，则优先级越高；

针对相同优先级接口，禁止其 MAC-ADDR 覆盖
当伪造网络设备所连接口的 MAC-ADDR 优先级与安全的网络设备相同时，后学习到的伪造网络设备 MAC-ADDR-Table-Entry 不会覆盖之前正确的表项；

注意事项： 1）如果恶意设备先接入网络，那么在配置不允许相同优先级接口 MAC 地址漂移时，如果安全网络设备下电，则交换机仍会学习到伪造网络设备的 MAC 地址，当网络设备再次上电时将无法学习到正确的 MAC 地址。因此该特性需谨慎使用，如果交换机的接口连接的网络设备是服务器，当服务器下电后，另外的接口学习到与服务器相同的 MAC 地址，当服务器再次上电后交换机就不能学习到正确的 MAC 地址；
地址漂移检测
交换机支持 MAC 地址漂移检测 机制，分为以下两种方式：
基于 VLAN 的 MAC 地址漂移检测
解释：配置 VLAN 的 MAC 地址漂移检测功能可以检测指定 VLAN 下的所有的 MAC 地址是否发生漂移；
当 MAC 地址发生漂移后，则可根据需求配置接口做出的动作有以下三种： 1）发送告警：当检测到 MAC 地址发生漂移时，只给网管发送告警； 2）接口阻断：当检测到 MAC 地址发生漂移时，根据设置的阻塞时间对接口进行阻塞，并关闭接口收发报文的能力； 3）地址阻断：当检测到 MAC 地址发生漂移时，只阻塞当前 MAC 地址，而不对物理接口进行阻塞，当前接口下的其他 MAC 的通信不受影[……]

READ MORE

实现物理地址表安全的方法如下：
静态物理地址表项（mac-address static …）
解释：将某些固定的上行设备或者信任用户的物理地址配置为静态物理表项，可以保证其安全通信。其他端口接收到该物理地址的报文将会被丢弃；
场景：为了防止一些关键设备（如各种服务器或上行设备）被非法用户恶意修改其物理地址表项，可将这些设备的物理地址配置为静态物理地址表项，因为静态物理地址表项优先于动态物理地址表项，不易被非法修改；
配置：

# <mac-address>：必须是单播物理地址，不能是组播和广播物理地址；
# <vlan-id>：必须已经创建，并且已经加入绑定的端口；
[Huawei] mac-address static <mac-address> interface-type interface-number vlan <vlan-id>

黑洞物理地址表项（mac-address blockhole …）
解释：防止恶意用户通过物理地址攻击网络，交换机对来自黑洞物理地址或去往黑洞物理地址的报文采取丢弃处理；
场景：为了防止无用物理地址表项占用物理地址表，同时为了防止黑客通过物理地址攻击用户设备或网络，可将那些有着恶意历史的非信任物理地址配置为黑洞物理地址，使设备在收到目的物理或源物理地址为这些黑洞物理地址的报文时，直接予以丢弃，不修改原有的物理地址表项，也不增加新的物理地址表项；
配置：

# <mac-address>：当设备收到目的物理或源物理地址为黑洞物理地址的报文，直接丢弃；
[Huawei] mac-address blackhole <mac-address> [ vlan vlan-id ]

动态物理地址老化时间（mac-address aging-time …）
解释：合理配置动态物理地址表项的老化时间，可以防止物理地址爆炸式增长。（超量的 物理地址 不会在被学习新地址，进而导致未知单播泛洪，降低网络安全）
场景：为了减轻手工配置静态物理地址表项，华为 S 系列交换机缺省已使能了动态物理地址表项学习功能。但为了避免物理地址表项爆炸式增长，可合理配置动态物理表项的老化时间，以便及时删除物理地址表中的废弃物理地址表项；
配置：

[Huawei] mac-address aging-time aging-time # 默认 300s（华为）

禁止物理地址学习功能（mac-address learning …）
解释：对于网络环境固定的场景[……]

READ MORE

问题描述
绝大部分数据在局域网链路中都是以明文形式传输的，在某些安全性要求较高的场景下存在安全隐患；
解决方案
MACsec 定义基于以太网的数据安全通信的方法，通过逐跳设备之间数据加密，保证数据传输安全性，对应的标准为 802.1AE；
原理简述
在设备运行点到点 MACsec 时，工作流程如下： 1）网络管理员在两台设备上通过命令行预配置相同的 CAK（密钥）， 2）两台设备会通过 MKA 协议选举出一个 Key Server，而 Key Server 决定加密方案， 3）Key Server 会根据 CAK 等参数使用某种加密算法生成 SAK 数据密钥， 4）Key Server 将 SAK 分发给对端设备，这样两台设备拥有相同的 SAK 数据密钥， 5）而后可以进行后续 MACsec 数据报文加解密收发；

特性说明
数据帧完整性检查 用户数据加密 数据源真实性校验 重放保护
应用场景
在交换机间，部署 MACsec 保护数据安全，例如在接入交换机与上联的汇聚或核心交换机之间部署 ；
当交换机间存在传输设备时，可部署 MACsec 保护数据安全；
概念术语
CAK, Secure Connectivity Association Key
CAK（Secure Connectivity Association Key，安全连接关联密钥）不直接用于数据报文的加密，由它和其他参数派生出数据报文的加密密钥；
CAK 可以在 802.1X 认证过程中下发，也可以由用户直接静态配置；
SAK, Secure Association Key
SAK（Secure Association Key，安全关联密钥）由 CAK 根据算法推导产生，用于加密安全通道间传输的数据；
MKA, MACsec Key Agreement
MKA（MACsec Key Agreement），用于 MACsec 数据加密密钥的协商协议；
MKA 对每个 SAK 可加密的报文数目有所限制：当使用某 SAK 加密的 PN 耗尽，该 SAK 会被刷新。例如，在 10Gbps 的链路上，SAK 最快 4.8min 刷新一次；
Key Server
两台设备会通过 MKA 协议选举出一个 Key Server
Key Server 决定加密方案和进行密钥分发的 MKA 实体；
配置案例
在华为设备中，并非所有型号都支持 MACsec 特性，配置细节请参考设备文档；[……]

READ MORE

问题描述
在以太交换网络中，为实现报文之间的二层隔离，用户通常将不同的端口加入不同的 VLAN，实现二层广播域的隔离；
在大型网络中，业务需求种类繁多，如下图所示，由于某种业务需求，PC1 与 PC2 虽然属于同个 VLAN ，但是要求它们在二层不能互通（但允许三层互通），PC1 与 PC3 在任何情况下都不能互通，但是 VLAN 3 里的主机可以访问 VLAN 2 里的主机。 那么该如何解决这个问题呢？
如果只通过 VLAN 实现报文二层隔离，会浪费有限的 VLAN 资源：
解决方案
采用 Port Isolation（端口隔离）功能，可以实现同个 VLAN 内端口间的隔离。用户只需要将端口加入到 Isolation Group（隔离组）中，就可以实现隔离组内端口间二层数据的隔离；
原理简述

1）缺省情况，属于同个 VLAN 的 PC1 和 PC2 能够二层互通； 2）将 GE0/0/1 和 GE0/0/2 端口部署到同一个端口隔离组，则 PC1 与 PC2 无法实现二层互通；
特性说明
端口隔离功能为用户提供了更安全、更灵活的组网方案；
端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能；
应用场景
WIP
概念术语
隔离类型
双向隔离（组内隔离）： 1）解释：将不同端口分为不同的组，同组内的端口双向隔离，不能互相发送数据； 2）同端口隔离组，其接口间互相隔离；不同端口隔离组，其接口间不隔离； 3）缺省情况，未使能端口隔离功能；
单向隔离： 1）为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现； 2）在 Intf A 上进行配置，配置其与 Intf B 单向隔离，而后 Intf A 发送的报文不能到达 Intf B，但从 Intf B 发送的报文可以到达 Intf A； 3）缺省情况下，未配置端口单向隔离；
隔离模式
二层隔离，但三层互通（L2）： 1）隔离同个 VLAN 内的广播报文，但是不同端口下的用户还可以进行三层通信； 2）当采用该模式时，在 VLANIF 上使能 VLAN Inner ARP Proxy 功能，仍可实现同个 VLAN 内主机通信（arp-proxy inner-sub-vlan-proxy enable） 2）缺省情况下，端口隔离模式为二层隔离三层互通；
二层隔离，且三层隔离（ALL）： 1）在同个 VLAN 的不同端口下，用户二三层彻底隔离无法通信；
配置示例

配置信息：

interface GigabitEthernet0/0/1
port link-type access
port defa[……]

READ MORE

问题描述
在企业网中，对希望接入网络的设备，有如下要求： 1）在接入层交换机上，连接终端设备的每个接口均只允许一台 PC 接入网络（限制 MAC 地址接入数量）。如果试图在某个接口下级联交换机等设备来扩展接口数量，那么这种行为应该被发现或被禁止； 2）另某些企业还可能会要求只有 MAC 地址为可信任的终端发送的数据帧才允许被交换机转发到上层网络，员工不能私自更换位置（变更交换机的接入端口）；
解决方案
通过交换机的 Port Security（端口安全）特性可以解决这些问题；
在交换机的特定接口上，通过部署 Port Security 特性：（1）可以限制接口的 MAC 地址学习数量；（2）并且配置出现越限时的惩罚措施；
Port Security 通过将接口学习到的 动态 MAC 地址 转换为 安全 MAC 地址，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性；
原理简述
WIP
特性说明
WIP
应用场景
为了保证汇聚设备的安全性，控制接入用户的数量，可以在汇聚设备上配置 Port Security 功能，同时指定安全 MAC 地址的限制数量；
在对接入用户的安全性要求较高的网络中，可以配置端口安全功能及端口安全动态 MAC 学习的限制数量： 1）此时接口学习到的 MAC 地址会被转换为安全 MAC 地址，接口学习的最大 MAC 数量达到上限后不再学习新的 MAC 地址，仅允许这些 MAC 地址和交换机通信； 2）而且接口上安全 MAC 地址数达到限制后，如果收到源 MAC 地址不存在的报文，无论目的 MAC 地址是否存在，交换机即认为有非法用户攻击，就会根据配置的动作对接口做保护处理； 3）这样可以阻止其他非信任用户通过本接口和交换机通信，提高交换机与网络的安全性；
配置端口安全功能后，接口学习到的 MAC 地址会转换为安全 MAC 地址，接口学习的最大 MAC 数量达到上限后不再学习新的 MAC 地址，仅允许这些 MAC 地址和交换机通信； 如果接入用户发生变动，可以通过设备重启或者配置安全 MAC 老化时间刷新 MAC 地址表项； 对于相对比较稳定的接入用户，如果不希望后续发生变化，可以进一步使能接口 Sticky MAC 功能，这样在保存配置之后，MAC 地址表项不会刷新或者丢失；
概念术语
Secure MAC Address
Dynamic Secure MAC Address
1）解释：使能 Port Security，但未使能 Sticky MAC 功能，此时转换的 MAC 地址为安全动态 MAC； 2）特点：设备重启后表项会丢失，需要重新学习；缺省不会被老化，仅在配置安全 MAC 的老化时间后才可被老化；
安全动[……]

READ MORE

流量抑制
问题描述
正常情况： 1）流量泛洪：当设备某个二层以太接口收到广播、未知组播、未知单播报文时，会向同个 VLAN 内的其他二层以太接口转发这些报文，从而导致流量泛洪，降低设备转发性能； 2）流量冲击：当设备某个以太接口收到已知组播或已知单播报文时，如果某种报文流量过大则可能会对设备造成冲击，影响其他业务的正常处理；
解决方案
流量抑制 —— 能够通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率，防止广播、未知组播报文和未知单播报文产生流量泛洪，阻止已知组播报文和已知单播报文的大流量冲击；
原理简述
设备监控接口（或 VLAN）下的各类报文速率并和配置的阈值相比较，当入口流量超过配置的阈值时，设备会丢弃超额的流量；
特性说明
在接口入方向上： 1）对广播、未知组播、未知单播、已知组播、已知单播报文，设备支持按百分比、包速率、特速率进行流量抑制； 2）还可为接口入方向的报文流量配置阈值，当流量超过阈值时，系统将丢弃多余的流量，阈值范围内的报文可以正常通过，从而将流量限制在合理的范围内；
在接口出方向上： 1）设备支持对广播、未知组播、未知单播报文的阻塞（Block）；
在 VLAN 下，设备支持对广播报文按比特速率进行流量抑制。设备监控同个 VLAN 内广播报文的速率并和配置的阈值相比较，当 VLAN 内流量超过配置的阈值时，设备会丢弃超额的流量；
流量抑制还可以通过配置阈值的方式对 ICMP 报文进行限速，防止大量 ICMP 报文上送 CPU 处理，导致其他业务功能异常；
应用场景
针对不同类型的报文，流量抑制采取不同的限制措施，达到限制报文发送速率的目的；

具体实施可分为以下三种情况： 1）在交换机接口的入方向，如图 SW1.GE0/0/1 入方向，通过流量抑制功能可以限制任意报文的发送速率； 2）在交换机接口的出方向，如图 SW1.GE0/0/1 出方向，通过流量抑制功能可以阻塞广播、未知组播、未知单播报文； 3）在交换机的 VLAN 中，通过配置 VLAN 内流量抑制，来限制 VLAN 内广播报文；
配置命令

# 配置流量抑制模式
[Huawei] suppression mode { by-packets | by-bits } // 缺省 packets 模式； 而 bits，流量抑制的粒度更小、抑制更精确；

# 配置流量抑制类型
# 接口下配置流量抑制时，抑制模式需与全局的流量抑制模式是一致（by-packetes or by-bits）
[Huawei-GigabitEthernet0/0/1] unicast-suppression[……]

READ MORE

问题描述
由于 IP 网络规模庞大，导致网络设备数量众多、通信协议层出不穷。同时，IP 网络的管理也变得极其复杂，安全性和业务灵活性以及安全性和管理维护便利性之间存在着矛盾。不同技术能力、管理水平的管理人员，对这些矛盾的处理能力也参差不齐。管理员往往追求业务可用性，而忽略了安全防御能力，导致必要的安全措施没有得到妥善的配置，设备本身的安全能力无法发挥； 该笔记将记录：常见的网络设备安全加固策略，对一些常见的安全配置进行了举例说明；
解决方案
网络安全是一个系统工程，网络当中的每一样东西都有可能是被攻击的目标，网络设备本身当然也不例外；
网络设备受到的常见攻击有： 1）恶意登录网络设备执行非法操作，例如重启设备； 2）伪造大量控制报文造成设备 CPU 利用率升高，例如发送大量的 ICMP 报文；
常见设备安全加固策略
常见的设备安全加固策略主要可以从以下方面部署： 1）关闭不使用的业务和协议端口 2）废弃不安全的访问通道 3）基于可信路径的访问控制 4）本机防攻击
关闭不使用的业务和协议端口
在分析业务需求的基础上，按照最小授权原则，关闭不使用的业务和协议端口； 1）不使用的物理端口，应该默认配置为关闭，即使插上网线也不能通信 2）不使用的协议端口，应该默认配置为关闭，不对外提供访问。如常见的 telnet、FTP、HTTP 等端口；
在华为网路设备中：

<SW1> system-view

# 在 SW1 上关闭 FTP 功能，同时关闭多个不使用的端口
[SW1] undo ftp server
Warning: The operation will stop the FTP server. Do you want to continue? [Y/N]:y
Info: Succeeded in closing the FTP server.

# 关闭不使用的端口，防止任意接入
[SW1]port-group protgroup1
[SW1-port-group-protgroup1]group-member GigabitEthernet 0/0/4 to GigabitEthernet0/0/48
[SW1-port-group-protgroup1]shutdown

废弃不安全的访问通道
在业务需求分析的基础上，优先满足业务的访问需求。然后，在同个访问需求有多种访问通道服务的情况下，为保证设备安全，应该废弃不安全的访问通道，而选择安全的访问通道；

访问需求
不安全的通道
安全的通道

远程登录
Telnet
SSHv2[……]

READ MORE

# 配置黑名单使用的 ACL
[R1] acl number 4001
[R1-acl-L2-4001] rule 5 permit source-mac 0001-c0a8-0102

[R1] cpu-defend policy demo
[R1-cpu-defend-policy-demo] auto-defend enable # 配置攻击溯源检查功能。
[R1-cpu-defend-policy-demo] auto-defend threshold 50
[R1-cpu-defend-policy-demo] blacklist 1 acl 4001 # 配置黑名单。
[R1-cpu-defend-policy-demo] packet-type arp-request rate-limit 64 # 配置 ARP Request 上送CPU的速率限制
[R1-cpu-defend-policy-demo] application-apperceive packet-type ftp rate-limit 2000 # 配置FTP协议动态链路保护功能的速率限制值。
[R1] cpu-defend-policy demo # 应用防攻击策略。

[R1] cpu-defend application-apperceive ftp enable # 使能FTP协议动态链路保护功能。

# 关闭telnet server功能。
[R1] undo telnet server enable

查看防攻击状态：

# 查看配置的防攻击策略的信息
[R1] display cpu-defend policy demo
Related slot : <0>
BlackList Status :
Slot<0> : Success
Configuration :
Blacklist 1 ACL number : 4001
Packet-type arp-request rate-limit : 64(pps)
Rate-limit all-packets : 1500(pps)(default)
Application-apperceive packet-type ftp : 2000(pps)
Application-apperceive packet-type tftp : 2000(pps)

# 查看上送到主控板的报文的统计信息，丢弃的报文表明设备对 arp-[……]

READ MORE

VXLAN EVPN for VXLAN Tunnel NAC / 策略联动（分级的认证设备） 业务随行[……]

READ MORE

在园区网络中，WLAN的应用愈加广泛，越来越多的园区选择无线建网。
WLAN 即 Wireless LAN，是指通过无线技术（不仅仅包含Wi-Fi，还有红外、蓝牙、ZigBee等等）构建的无线局域网络。
Wi-Fi是一种基于IEEE 802.11标准的无线局域网技术。
最为熟知的是影响Wi-Fi代际演进的标准是802.11b、802.11a、802.11g、 802.11n、802.11ac等，2018年Wi-Fi联盟简化命名，将最新一代802.11ax标准命名为Wi-Fi 6。
WLAN 场景分类
规模：组网规模不同，管理的复杂度不同，管理的需求以及方式也不同，对组网有较大影响。 人员密度: 高密场景下，人员集中，对人均带宽影响较大，对部署以及规划都有较高要求。 区域特点: 室外场景一般要求覆盖距离较远，天线会有特殊的选择，同时对设备的可靠性以及稳定性有较高要求。 特殊需求：数字时代，越来越多的增值服务慢慢普及，电子价签、定位、资产管理等无线技术，对WLAN的兼容性提出了更高的要求。

双轮驱动：技术与应用发展助推Wi-Fi 6时代到来

Wi-Fi 6 比 Wi-Fi 5：带宽提升 4 倍；并发提升 4 倍；时延降低30%；

Wi-Fi 6 技术增强场景适应性，为客户带来新的应用体验

WLAN运维挑战 三“难”

华为大型 WLAN 方案功能
设备统一管理：全网设备统一纳管，配置自动备份，告警实时上报，网管不再有烦恼。 漫游&业务随行：无缝漫游，用户在园区网络内移动时，只要身份不变，则其网络访问权限及体验将随之而动 接入&终端安全保障：准入控制技术以及终端安全防护确保安全无死角。 高可靠性技术：双机冷备、双机热备、N+1备份等多种高可靠性技术保障WLAN网络稳定运行。

WLAN配合SDN控制器使用，由SDN控制器统一管理和配置，能够实现业务发放自动化、网络全生命周期管理，结合大数据和AI技术可实现园区网络的智能、极简和安全。园区网络更具备有线与无线的深度融合能力。
华为 WLAN 方案满足未来无线建网需求
全场景 1）面对复杂多样的应用场景，采用场景定制化解决方案 2）园区网络、分支网络均有完整的WLAN部署、管理方案
大带宽 1）支持802.11ac wave2协议，双5G射频覆盖，无线接入带宽最高可达3.46 Gbps 2）华为主导制定下一代802.11ax标准（Wi-Fi 6），单5G速率高达9.6 Gbps 3）支持无线漫游及WMM等多种无线QoS协议，保证业务质量
高安全 1）支持WPA/WPA2/WPA3/WAPI等主流认证/加密方式 2）支持无线入侵检测 3）可通过PoR1[……]

READ MORE

基本概念
AP (Access Point，接入点)：为STA（Station，无线终端）提供基于802.11标准的无线接入服务，起到有线网络和无线网络的连接作用。
FAT AP（胖AP）：能够独立自治、自我管理的AP。FAT AP 架构又称为自治式网络架构。

架构特点
当部署单个AP时，FAT AP具备较好的独立性，不需要另外部署集中控制设备，部署起来很方便，成本较低廉。
但是，在企业中，随着WLAN覆盖面积增大，接入用户增多，需要部署的FAT AP数量也会增多。而每个FAT AP又是独立工作的，缺少统一的控制设备，因此管理、维护这些FAT AP就变得十分麻烦。 所以对于企业而言，不推荐FAT AP架构，更合适的选择是诸如下面要介绍的AC+FIT AP等架构。[……]

READ MORE

问题描述
本文将介绍，在linux下使用hostapd及dnsmasq来创建无线热点
环境概述
系统环境：Kali GNU/Linux Rolling
前提条件
需要一张无线网卡。
第一步、准备无线网卡，并确认是否支持AP模式
检查无线网卡是否支持AP模式
你需要一块nl80211兼容的网卡设备，并支持AP模式（当然你可以直接问商家）。
可以通过iw list命令进行查看是否支持AP模式，在输出的Supported interface modes部分下，查看有没有一个* AP，命令如下：

#!/bin/bash

iw list | grep ‘Supported interface modes’ -A 10

输出如下图，如果有AP列出，则该网卡就支持搭建无线热点：
单设备的无线客户端与软AP
（注意：该步骤与搭建无线热点并无关系） 创建软AP独立于你自己的网络连接（以太网，无线…）。许多无线设备甚至支持同时做为软AP和无线客户端的simultaneous操作。如果要使用该功能，可以使用单个无线设备创建一个充当现有网络的“无线中继器”的软AP。该功能列在iw list输出的以下部分中：
如果你的#channels <= 1意味着你的软AP必须在与你的Wi-Fi客户端连接在相同的信道上运行；请参阅下面的hostapd.conf中的通道设置。
如果要使用这个功能，可能是因为以太网连接不可用，则需要创建两个独立的虚拟接口来使用它。如下所示，可以创建物理设备wlan1的虚拟接口：为网络连接（wlan1_sta）本身和软件AP/hostapd“无线中继器”创建具有各自唯一MAC地址的虚拟接口：

#!/bin/bash

iw dev wlan1 interface add wlan1_sta type managed addr 12:34:56:78:ab:cd
iw dev wlan1 interface add wlan1_ap type managed addr 12:34:56:78:ab:ce

第二步、设置Wi-Fi链路层（配置「HOSTAPD」服务）
这一步骤是设置Wi-Fi链路层（Wi-Fi link layer）、创建无线热点。在创建无线热点后，客户端就可以通过无线名及密码连接到该热点并发送数据包。
该Wi-Fi链路层部分由+hostapd实现。
安装「hostapd」包
关于hostapd的安装及配置的介绍参考另外一篇文章: 在Linux下，hostpad的安装及配置
配置/etc/hostapd/hostpad.conf配置文件
如果文件不存在则进行创建，配置文[……]

READ MORE