26 min read

华为交换机快速配置向导

【封面图片:黄姚古镇】华为交换机快速配置向导
华为交换机快速配置向导

一、交换机系统基本配置规范

1.1 配置时区与调整时间

在监控(用户)视图下配置clock timezone <地区> add/minus <时区>

规范:配置系统时区为GMT+8,北京时区

<Huawei> clock timezone Beijing add 08:00:00
<Huawei> clock datetime 11:11:11 2018-08-08

验证:

<Huawei> display clock

1.2 设备名称配置

在普通模式下配置 system-view进入系统模式后, 再配置 sysname 交换机名称

<Huawei> system-view
[Huawei] sysname switch-name

验证:配置后立即生效,设备名称显示在配置命令行的左边。

设备名命名规范请参阅《xx-网络设备命名规范表》

1.3 Banner配置

进入视图模式,配置banner警示信息,如下:

[HUAWEI] header login information %
WARNING:  Unauthorized access to this system is forbidden and will be prosecuted by law. By accessing this system, you agree that your actions may be monitored if unauthorized usage is suspected.%

验证:登陆设备时应看到banner提示。

1.4 NTP配置

视图模式下,设置NTP时钟源本地接口ntp-service source-interface <接口>(可以不配置)

再配置ntp-service unicast-server

设置其中一台NTP SERVER的优先级:ntp-service unicast-server preference

规范:配置现网设备NTP协议版本为V3。指定本地发出NTP消息的接口。

[HUAWEI] interface loopback0
[HUAWEI-LoopBack0] ntp-service source-interface LoopBack0
[HUAWEI] ntp-service unicast-server *.*.*.* preference
[HUAWEI] ntp-service unicast-server *.*.*.* 

验证:

[HUAWEI] display clock
[HUAWEI] display ntp-service status
[HUAWEI] display ntp-service sessions
[HUAWEI] display ntp-service event clock-unsync
[HUAWEI] display ntp-service statistics packet

1.5 VTY接口配置

1.5.1 连接数,空闲时间配置

视图模式下,设定连接数限制:user-interface maximum-vty <数量>
设定连接口的空闲时间,先配置:user-interface <接口类型(console | vty)> <接口id>
再设定超时时间:idle-timeout <时长> 0

user-interface maximum-vty 10
user-interface console 0
 idle-timeout 10 0 
user-interface vty 0 9 
 idle-timeout 10 0

规范:配置并发连接数限制10个;对VTY/Console登录超时设置进行配置,设置空闲时间为10分钟;

注意:华为设备默认超时时间即为10分钟,配置后不会显示配置。

1.5.2 访问控制列表

视图模式下,创建控制列表:acl number <编号>

编号的规则:

编号范围 类型
2000~2999 基本[IP]v4 ACL
3000~3999 高级[IP]v4 ACL
4000~4999 二层ACL

配置命令要点:
配置acl允许规则:rule <编号> permit isource <ip/或者ip段> <反子网掩码>
配置acl拒绝规则:rule <编号> deny <ip> source <ip/ip段 反子网掩码>
最后要过滤掉不符合规则的数据:rule <编号> deny
进入vty端口,配置认证方式: authentication-mode <认证方式>
配置登陆方式:protocol inbound <all/ssh/telnet>
acl应用接入:acl <编号> inbound
视图模式下,打开ssh功能:stelnet server enable
ssh默认认证方式:ssh authentication-type default password
生成rsa本地密钥:rsa local-key-pair create

规范:Telnet/SSH访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny any any语句,华为设备Telnet/SSH ACL统一使用编号2500

配置范例

acl name permitToSSH 2500
 rule 10 permit source 192.168.0.0 0.0.255.255
 rule 20 permit source 119.147.144.176 0.0.0.7
 rule 30 permit source 39.108.115.157 0
 rule 100 deny
user-interface vty 0 9
 authentication-mode aaa
 protocol inbound all 
 acl 2500 inbound

也可以使用以下方法来应用 ACL策略,效果与上面一致。

ssh server acl 2500

注意:在任何环境中,除特殊需求外,设备应使用SSH协议,应禁用telnet协议。

1.5.3 移除设备缺省用户

华为设备在出厂时,缺省情况下会提供一个名为”admin”的用户名,为安全起见,应当将其移除。

[HUAWEI] aaa
[HUAWEI] undo local-user admin

验证:

display current-configuration configuration aaa | include admin

1.5.4 配置console接口认证

Console 接口缺省情况下可能不存在认证,需要为其配置认证。

规范:配置console采用本地密码认证方式。

[Huawei] user-interface con 0
[Huawei-ui-console0] authentication-mode password
[Huawei-ui-console0] set authentication password cipher 

配置验证

<Huawei> display current-configuration configuration user-interface
<Huawei> display current-configuration configuration aaa

1.5.5 设置交换机super密码

配置级别:可选

[Huawei] super password cipher 

验证:

<Huawei> display current-configuration | include super

当低级别用户向高级别切换时.输入命令 super [level],此时如果设置了super 的password,则只有验证通过后切换才能实现。 super的口令配置也有明文和暗文两种方式,具体命令为super password simple (明文),super password cipher (暗文)。

1.5.6 SSH远程配置示例

rsa local-key-pair create                       # 生成密钥对
user-interface vty 0 9
 authentication-mode aaa
 protocol inbound ssh

aaa
 local-user wdadmin password irreversible-cipher password
 local-user wdadmin privilege level 15
 local-user wdadmin service-type ssh

stelnet server enable 
ssh user wdadmin service-type stelnet 
ssh user wdadmin authentication-type password
ssh server-source -i loopback 0  # 执行本命令前,必须已经成功创建LoopBack接口,且接口下已配置IP地址。

验证:

<Huawei> display current-configuration | include stelnet
<Huawei> display current-configuration | include ssh
<Huawei> display current-configuration | include aaa

1.6 停止不必要运行的服务

对于远程管理协议,仅保留SSH服务即可,其它如HTTP/HTTPS/TELNET均不必开启。

[Huawei] undo http server enable
[Huawei] undo https server enable
[Huawei] undo telnet server enable                #telnet为明文为传输,强烈建议使用SSH 代替

二、端口配置规范

2.1 Loopback地址配置

进入子接口模式:interface loopback <编号>

配置loopback地址: ip address IP <掩码>

描述端口行为:description <描述>

规范:loopback的编号一般位0,掩码必须为32位。

[Huawei]interface loopback0
[Huawei-LoopBack0]ip address *.*.*.* 32
[Huawei-LoopBack0]description For-Management

验证:

<Huawei> display interface loopback 0 
<Huawei> display current-configuration interface LoopBack 0 

2.1 配置上连接口

进入子接口模式:interface <端口>
撤销自协商操作: undo negotiation auto
设置最大传输单元:MTU <数值>[可选]
端口描述:description <描述>
端口地址: ip address IP <掩码>

规范:必须为每个端口配置描述信息。

interface GigabitEthernet1/0/0
 undo negotiation auto
 mtu xxxx                                       # 参数视业务所定,如储存网络可配置为9000
 description uT:TargetDevice[资产编号]:GE1/0/3[速率:TargetIP::属性]

2.2 配置下连接口

进入子接口模式:interface <端口>
设置最大传输单元:MTU <数值>[可选]
端口描述:description <描述>
端口地址: ip address IP <掩码>

规范:必须为每个端口配置描述信息。

interface GigabitEthernet1/0/0
 undo negotiation auto
 mtu xxxx                                       # 参数视业务所定,如储存网络可配置为9000
 description dT:TargetDevice[资产编号]:GE1/0/3[速率:TargetIP::属性]

2.3 配置平连接口

进入子接口模式:interface <端口>
设置最大传输单元:MTU <数值>[可选]
端口描述:description <描述>
端口地址:ip address IP <掩码>

规范:必须为每个端口配置描述信息。

interface GigabitEthernet1/0/0
 undo negotiation auto
 mtu xxxx                                       # 参数视业务所定,如储存网络可配置为9000
 description pT:TargetDevice[资产编号]:GE1/0/3[速率:TargetIP::属性]

2.4 trunk 链路配置规范

trunk 链路必须禁止VLAN 1 数据通过。

interface GigabitEthernet1/0/0
 port link-type trunk
 undo trunk allow-pass vlan1
 trunk allow-pass vlan xx
 description pT:TargetDevice[资产编号]:eth-Trunk编号[速率:TargetIP::属性]

2.5 Eth-Trunk下联接口配置

进入汇聚端口: interface eth-trunk <端口编号>
配置eth-trunk的mac地址:mac-address <MAC地址>
配置接口的工作模式:mode <模式>
进入子接口模式:interface <端口>
将接口加入Eth-Trunk组:eth-trunk <端口编号>

规范:若存在多个业务槽位, eth-trunk须分布到不同的业务槽位,避免占用单板资源;

  • eth-trunk端口手工配置不同的mac地址;
  • eth-trunk端口必须配置逻辑接口;
[HUAWEI] interface Eth-Trunk 1
[HUAWEI-Eth-Trunk1] mac-address 7691-2b6f-0001
[HUAWEI-Eth-Trunk1] description pT:TargetDevice[资产编号]:eth-Trunk编号[eth-trunk成员接口]
[Huawei-Eth-Trunk1] mode lacp-static 

#端口绑定
<Huawei> system-view 
[Huawei] interface gigabitethernet 1/1/8 
[Huawei-GigabitEthernet1/0/8] eth-trunk 1 
[Huawei] interface gigabitethernet 2/1/8 
[Huawei-GigabitEthernet1/0/9] eth-trunk 1

验证:

<Huawei> display current-configuration interface eth-trunk1

三、路由协议配置规范

3.1 静态路由配置

视图模式下配置静态路由优先级:ip route-static default-preference <级别>
配置静态路由同时绑定下一跳地址和出接口:ip route-static <IP段> <子掩> <接口> <IP>

规范:配置静态路由时,要求既绑定下一跳地址,也要绑定出接口。
全局修改静态路由的优先级为1。

[Huawei] ip route-static default-preference 1  
[Huawei] ip route-static 1.1.1.1 255.255.255.255 vlanif 10 2.2.2.2  

3.1.1 黑洞路由

黑洞路由配置方式:ip route-static <IP> <子掩> NULL0 preference <级别>

规范:配置黑洞路由时,优先级为61。

[Huawei] ip route-static 202.105.0.110 255.255.255.255 NULL0 preference 61

3.1.2 默认路由

浮动静态路由配置方式:

视图模式:ip route-static 0.0.0.0 0.0.0.0 <出口> <下一跳IP> preference <优先级>

规范:配置指向出口的默认路由,优先级为210,需绑定下一跳和接口

[Huawei] ip route-static 0.0.0.0 0.0.0.0 g1/0/1 202.104.209.225 preference 210
[Huawei] ip route-static 0.0.0.0 0.0.0.0 g2/0/0 202.104.209.229 preference 210

验证:

[Huawei] display ip routing-table protocol static

3.2 OSPF配置

3.2.1 OSPF进程名和ROUTE-ID

视图模式下,配置OSPF进程名和路由ID:ospf <进程号> route-id <路由ID编号>

规范:OSPF process ID保持统一,配置OSPF进程号为20。单机不运行多个OSPF进程,配置OSPF router-id地址为loopback0接口的IP,不使用自动选举OSPF router-id方式。

<HUAWEI> system-view 
[HUAWEI] ospf 20 router-id 10.10.10.10

验证:

[HUAWEI-ospf-20] display ospf brief

3.2.2 OSPF 时间参数

华为设备 OSPF协议 hello时间默认为10秒,dead时间默认为40秒,默认设置无需更改。

3.2.3 OSPF 接口宣告

进入ospf模式:ospf <进程号>
配置设备loopback端口和其它设备内部互连链路端口为OSPF端口:silent-interface <loopback端口>
配置OSPF区域:area 或者area <区域编号>
配置区域包含的网段:network <子网掩码>

规范:宣告OSPF端口,尽量不使用/24位以上的段来宣告IP。避免将其它端口误配置到OSPF中。
不需建立OSPF邻居的接口统一配置为OSPF接口宣告+被动端口模式。
按业务需要进行选择网络类型,如太网链路点到点连接两台设备时,链路类型为P2P。

[HUAWEI] ospf 20
[HUAWEI-ospf-20] silent-interface loopback0
[HUAWEI-ospf-20] area 0
[HUAWEI-ospf-20-area-0.0.0.0] network 192.168.1.1 0.0.0.0
[HUAWEI-ospf-20-area-0.0.0.0] network Loopback0IP 0.0.0.0

[HUAWEI] interface vlanif 10
[HUAWEI-vlanif10] ospf network-type p2p
[HUAWEI-vlanif10] ospf authentication-mode md5 20 cipher *       # 建议Key ID统一为20

验证:

[HUAWEI] display ospf brief
[HUAWEI] display ospf lsdb
[HUAWEI] display ospf interface xx
[HUAWEI] display current-configuration configuration ospf

3.2.4 OSPF reference-bandwidth

OSPF视图下,OSPF计算度量值的参考带宽:bandwidth-reference <带宽的值>

规范:将OSPF cost自动计算参数设置为100000 Mbits /s,以使10G链路cost为10,2.5G为40,1G为100,100M为1000。

[HUAWEI] ospf 20
[HUAWEI-ospf-20] bandwidth-reference 100000

验证:

[HUAWEI-ospf-20] display current-configuration configuration ospf 

3.2.5 OSPF负载均衡条目

OSPF视图下,配置OSPF负载均衡数为为设备最大支持数,华为设备最大支持16条。

[HUAWEI] ospf 20
[HUAWEI-ospf-20] maximum load-balancing 16

验证:

<HUAWEI> display current-configuration | begin ospf 20

3.2.6 OSPF路由协议优先级

OSPF视图下,配置OSPF内部优先级:preference <级别>
OSPF视图下,配置OSPF外部优先级: preference ase <级别>
规范:更改OSPF协议路由协议优先级/管理距离为:内部OSPF路由优先级/管理距离为110,外部 OSPF路由协议优先级/管理距离为150

[HUAWEI] ospf 20
[HUAWEI-ospf-20] preference 100
[HUAWEI-ospf-20] preference ase 110

验证:

[HUAWEI-ospf-20] display current-configuration | begin ospf 20
[HUAWEI-ospf-20] display ospf routing 

3.2.7 OSPF log邻居变化信息

华为HUAWEI默认记录OSPF log邻居变化信息,该特性不需要特别修改。

3.2.8 OSPF邻居链路加密

在接口视图下,对OSPF邻居之间的协议报文进行加密和校验: ospf authentication-mode <加密方式> <密码ID> cipher <密码>

规范:在OSPF邻居之间开启OSPF链路MD5加密,key id为1,密码为NOC统一指定,不开启OSPF区域认证

[HUAWEI] interface GigabitEthernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ospf authentication-mode md5 1 cipher 
[HUAWEI-GigabitEthernet0/0/1] ospf network-type p2p

验证:

[HUAWEI] dis ospf peer 
[HUAWEI] dis ospf interface GigabitEthernet 0/0/1

3.2.9 配置范例

ospf 20 router-id x.x.x.x
  import-route static route-policy importStatic
  silent-interface LoopBack0
  maximum load-balancing xx 
  preference 110
  preference ase 150
  area 0.0.0.0
  network 192.168.30.33 0.0.0.0
  network 1.1.1.1 0.0.0.0 

interface vlanif 30
 ip address 10.11.10.1 255.255.255.252
 ospf authentication-mode md5 20 cipher *
 ospf network-type p2p

3.3 BGP配置

3.3.1 BGP AS号与router-id配置

视图模式下,配置BGP进程名:bgp <AS 号>

规范:内部BGP AS 号应使用64512-65535之间的范围。

配置BGP router-id地址为Loopback0接口的IP地址。

<HUAWEI> system-view 
[HUAWEI] bgp 64512
[HUAWEI-bgp] router-id xx.xx.xx.xx

验证:

<HUAWEI> display current-configuration configuration bgp

3.3.2 BGP log邻居变化信息

华为设备默认支持BGP log邻居变化信息,无需特别配置。

3.3.3 关闭BGP同步和自动汇总

缺省关闭IGP同步功能,不需特别配置。

3.3.4 BGP时间参数

华为路由器BGP keepalive时间,holdtime时间默认分别为60s和180s,现有配置无需修改。

3.3.5 BGP路由优先级

  • eBGP路由优先级为20
  • iBGP 路由优先级为200
  • 本地生成路由为200
[HUAWEI-bgp] preference 20 200 200

3.3.6 BGP拒绝引入上层路由

bgp process ID
 peer xx.xx.xx.xx route-policy denyFromXX import
route-policy denyFromXX deny node 100
if-match ip-prefix denyFromCR
ip ip-prefix denyFromCR index 1000 deny 0.0.0.0 0

3.3.7 BGP 配置实例

bgp 64530
 router-id xx.xx.xx.xx
 group uT-CR external
 peer uT-CR as-number 64520
 peer uT-CR description uT-CR-BGP-Group
 peer uT-CR ebgp-max-hop 2
 peer uT-CR connect-interface LoopBack0
 peer uT-CR password cipher L&+K=W#c7LC2}6K:@2f:z}j#
peer xx.xx.xxx.xx group uT-CR
import-route static route-policy permitToCR
ipv4-family unicast
  undo synchronization
  preference 20 200 200
  peer uT-CR enable
  peer uT-CR route-policy denyFromCR import           #入方向匹配路由策略
  peer uT-CR route-policy permitToCR export           #出方向匹配路由策略
  peer uT-CR advertise-community
route-policy denyFromCR deny node 100
if-match ip-prefix denyFromCR01
route-policy permitToCR permit node 10
 if-match ip-prefix permitToCR
 apply community no-export additive

ip ip-prefix denyFromCR index 1000 deny 0.0.0.0 0
ip ip-prefix permitToCR index 10 permit 5.5.5.0 24 less-equal 30
ip ip-prefix permitToCR index 1000 deny 0.0.0.0 0

验证:

[HUAWEI] dis current-configuration configuration bgp

四、交换机安全配置

4.1 ICMP安全配置

Internet Control Message Protocol(ICMP)是TCP/IP协议族的一个子协议,用于在主机和路由设备之间传递消息。设备收到ICMP报文时,需要上送到CPU进行处理。如果设备收到大量ICMP报文,则会影响设备的转发性能。因此,可以通过配置ICMP相关的属性来优化IP性能。

<HUAWEI> system-view
[HUAWEI] icmp ttl-exceeded drop all                       # 丢弃TTL=1的ICMP报文
[HUAWEI] icmp with-options drop all                       # 丢弃带选项的ICMP报文
[HUAWEI] icmp unreachable drop                            # 丢弃ICMP目的不可达报文
[HUAWEI] undo icmp broadcast-address echo enable          # 丢弃去往目的地址为广播地址
[HUAWEI] undo icmp host-unreachable send                  # 丢弃ICMP主机不可达报文

验证:

<HUAWEI> display current-configuration | include icmp

4.2 IP源地址校验

IP源地址校验是指接口对接收到的报文进行IP源地址合法性检查,IP源地址非法的报文将被丢弃,从而提高网络的安全性能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip verify source-address

缺省情况下,接口不对接收到的报文进行IP源地址合法性检查。
IP源地址校验功能只对需要上送到CPU进行处理的报文有效,对于直接按FIB表转发的报文无效。
若接收到的报文的IP源地址的掩码长度为31位,则接收端对源地址不作子网广播地址检查,即认为31位掩码的IP地址为合法源地址。

4.3 URPF配置

单播反向路径转发(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源IP地址欺骗的网络攻击行为。

URPF根据数据包的源IP地址在路由表或ARP表中查找对应的出接口,并判断该接口是否与数据包的来源接口相匹配。如果没有匹配表项则丢弃该数据包,从而预防IP欺骗,特别是针对伪造IP源地址的DoS攻击非常有效。
URPF的两种工作模式:

  • 严格模式
    严格模式下,设备不仅要求报文源地址在路由表或ARP表中存在相应表项,还要求接口匹配才能通过URPF检查。
    建议在路由对称的环境下使用URPF严格模式,例如两个网络边界设备之间只有一条路径的话,这时,使用严格模式能够最大限度的保证网络的安全性。

  • 松散模式
    松散模式下,设备不检查接口是否匹配,只要FIB表中存在该报文源地址的路由,报文就可以通过。
    建议在不能保证路由对称的环境下使用URPF的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,URPF的松散模式也可以保证较强的安全性。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[HUAWEI] interface gigabitethernet 0/0/1

// 严格模式
[HUAWEI-GigabitEthernet0/0/1] urpf strict allow-default-route
// 松散模式
[HUAWEI-GigabitEthernet0/0/1] urpf loose allow-default-route

4.3 IPSG配置

利用绑定表对IP报文进行过滤。设备会匹配检查接口上接收到的IP报文,只有匹配绑定表的IP报文才允许通过。
应用场景:防止IP地址欺骗攻击。如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

IPSG (IP Source Guard,IP源防护),主要绑定MAC表,MAC绑定表分为:

  • 静态绑定表
    通过user-bind命令手工配置。该方案适用于网络设备较少,且主机使用静态配置IP地址的网络环境。
[HUAWEI]user-bind static ip-address x.x.x.x mac-address xxxx-xxxx-xxxx interface GEx/x/xx
//接口启用
[HUAWEI] interface GEx/x/xx
[HUAWEI-GEx/x/xx] ip source check user-bind enable

如果存在虚拟IP,别忘了将它添加过去,不然无法通信哦。如果存在大量虚拟IP,是否使用IPSG 还需斟酌。

  • 动态绑定表

配置DHCP Snooping 功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于主机较多,且主机使用DHCP动态获取IP地址的网络环境。(适用于办公网络,不适用于数据中心)

[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface vlanif XX
[HUAWEI-vlanXX] dhcp snooping enable
[HUAWEI-vlanXX] dhcp snooping trusted interface GE1/0/X     //配置信任接口
[HUAWEI-vlanXX] ip source check user-bind enable
[HUAWEI-vlanXX] arp anti-attack check user-bind enable
[HUAWEI-vlanXX] arp anti-attack check user-bind check-item ip-address mac-address

4.4 禁用高危端口

禁用windows中以下高危端口

规范:无特殊用例的前提,应禁止135/137/138/445端口。若内网使用了这些端口,结合ACL配置信任网段。在业务交换机配置即可。

端口 作用 病毒 病毒影响
135 DCOM和/RPC的服务 Worm 系统重启
137 NetBIOS服务 Worm 系统重启、远程控制
139 NetBIOS Session服务 Rbot 盗取系统权限
445 传输文件和NET远程管理 勒索病毒 数据损坏
4444 动态端口 冲击波病毒 系统重启
5554 动态端口 震荡波病毒 用于病毒传播
acl name defenceVirus 3801
  rule 5 permit tcp destination-port eq 445
  rule 10 permit tcp destination-port eq 135
  rule 15 permit tcp destination-port eq 137
  rule 20 permit tcp destination-port eq 139
  rule 25 permit udp destination-port eq 445
  rule 30 permit udp destination-port eq 135
  rule 35 permit udp destination-port eq 137
  rule 40 permit udp destination-port eq 139

traffic-filter inbound acl 3801
traffic-filter outbound acl 3801

验证:

<HUAWEI> display acl 3801
<HUAWEI> display current-configuration | include traffic-filter

说明

  • 配置前请确认是否有正常使用配置的高危端口服务,避免影响正常业务;
  • 最好在所有端口下配置,次选在全局和上行端口配置。

4.5 丢弃TTL为1的上送报文

通过减小协议CPCAR值或者设置协议CPCAR为deny,可以限制一些设备不需要处理或者优先级低的报文上送,保证系统正常运行。

修改ICMP报文上送速率为64kbps,丢弃TTL=1的上送报文。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy antiatk
[HUAWEI-cpu-defend-policy-1] car packet-type icmp cir 64
[HUAWEI-cpu-defend-policy-1] deny packet-type ttl-expired
[HUAWEI-cpu-defend-policy-1] quit
[HUAWEI] cpu-defend-policy antiatk global
[HUAWEI] cpu-defend-policy antiatk

五、业务案例

5.1 四/七层转发PBR

S5720-36C-EI 为例

  • 提取HTTP/HTTPS业务流量出来

ICMP 的流量看实现需求是否需要分配到七层转发服务器上面去

acl name toLayer7Forward 3900
 description "match http and https for high-defense-IP"
 rule 5 permit tcp destination xx.xx.xx.0 0.0.0.255 destination-port eq www
 rule 10 permit tcp destination xx.xx.xx.0 0.0.0.255 destination-port eq 443
 rule 15 permit icmp destination xx.xx.xx.0 0.0.0.255             # 看实际需求
  • 创建策略路由
traffic classifier toLayer7Forward operator and
 if-match acl toLayer7Forward
#
traffic behavior toLayer7Forward
 statistic enable            # 开启记数统计,可选

这里需要留意,如果下一跳为单独一台交换机,可以使用ip-nexthop指向下一跳交换机侧IP。

 redirect ip-nexthop xx.xx.xx.xx

如果四七层业务在同级交换机,那需要使用到下一跳ECMP

 redirect ip-multihop nexthop xx.xx.xx.xx nexthop xx.xx.xx.xx nexthop xx.xx.xx.xx nexthop xx.xx.xx.xx

备注: 最好的情况是使用前者,由单独的交换机去控制七层业务服务器的流量(比如使用OSPF);使用后者的话,最为简单的情况需要将业务网卡进行shutdown(部分网卡即可在系统层将网卡状态配置成shutdown,交换机侧的端口还是up状态)

traffic policy highDefenseIP match-order config
 classifier toLayer7Forward behavior toLayer7Forward
  • 上联接口应用策略路由
interface XGigabitEthernet0/0/XX
 traffic-policy highDefenseIP inbound

5.2 清洗系统PBR

  • 创建一个编号为2100的 ACL,并允许通过
acl name anySource number 2100
 rule 1000 permit
  • 创建策略路由
traffic classifier Any-Source type or
 if-match acl 2100
#
traffic behavior Nexthop-To-DSW01
 redirect nexthop xx.xx.xx.xx           # IP地址段的下一跳设备互联IP
#
traffic policy HIP-Policy
 classifier Any-Source behavior Nexthop-To-DSW01
  • 清洗系统与交换机接口上应用
interface VlanifXXXX
 traffic-policy HIP-Policy inbound

如果清洗系统为多数据中心提供清洗,基本的ACL 无法满足,需使用高级ACL,匹配任意源到指定的目标地址,再通过策略路由将流量指向下一路。

5.3 使用NQA建立联动路由

  • 建立对应NQA 实例(每台服务器对应一个实例)
nqa test-instance healthCheck tol401
  test-type icmp
  source-address ipv4 10.70.11.1
  destination-address ipv4 10.70.11.2
  sendpacket passroute
  timeout 2
  frequency 2
  probe-count 1
  start now
nqa test-instance healthCheck tol402
  test-type icmp
  source-address ipv4 10.70.21.1
  destination-address ipv4 10.70.21.2
  sendpacket passroute
  timeout 2
  frequency 2
  probe-count 1
  start now
  • 查看NQA 检测状态
display nqa results test-instance healthCheck tol401
  • 结合NQA 配置联动静态路由
ip route-static 1.1.1.1 255.255.255.255 Vlanif10 172.16.10.1 track nqa healthCheck tol401 description NAT_Primary_Routing
ip route-static 1.1.1.1 255.255.255.255 Vlanif20 172.16.20.1 preference 65 description NAT_Backup_Routing

5.4 基于源IP + 目的IP 二元哈希负载均衡

华为S5720-36C-EI 为例

 ecmp load-balance sip dip

5.5 日志发送到Rsyslog

当用户需要监控的交换机不在本地且需要查询该交换机产生的信息时,可以在该交换机上配置信息输出到日志主机,以方便用户在日志主机侧接收设备产生的信息。执行命令info-center loghost可以配置信息输出到日志主机。

info-center loghost source 接口
info-center loghost RSYSLOG_SERVER language english
rstp channel 5 log level informational 

为了提高日志传输的安全性,可选择参数ssl-policy policy-name配置基于TCP模式的SSL加密方式。

5.6 为SSH远程提供证书访问

rsa peer-public-key wd-sw
 public-key-code begin
  30820109
    02820100
      DFA346FF 1774A7DC 6CA1EDB2 82FFD2B0 5B7731A6 7CFE7935 726AB07A 0BD4DD65
      0EF3638D F6F8521D EA31CEBC 16744FF1 2982CF76 8E43B03F F5905706 D303E292
      9CA9F2D6 9B4F87D7 4075D6C2 7DFF1F6C 96A41AD6 869AEF8D 4F35F435 AD844F00
      0FA3221D 09294150 898601E4 56519C29 909D803D 68CBA055 2A725058 5608EF18
      07078B14 FF7D4AE7 B19C5021 85A4AB3C CFA901E3 FADDE7F4 E9D9D07D D9AD67B3
      E4129A8B D54155E0 C5DCBE39 8A86EEF3 CB8EB3BB 3FD037EC DD363433 4AD649A6
      99BD9317 BB88C384 C4E51FD3 E3B70BED 417CFD2D 0CE5D08B BA160D5B 5C431D6A
      5368C6D5 0AC5EAA1 474156E2 2AB98EBD 4A4A21DA 5225A897 2CD14913 64C6B119
    0203
      010001
 public-key-code end
peer-public-key end

ssh user wdadmin assign rsa-key wd-sw

user-interface vty 0 9
 user privilege level 15

5.7 端口镜像配置

observe-port 1 interface XGigabitEthernet 5/0/16

interface XGigabitEthernet5/0/14
 port-mirroring to observe-port 1 inbound
 port-mirroring to observe-port 1 outbound

六、其它

6.1 交换机初始密码

用户名:admin
密码:admin@huawei.com

以上适应于 S5700、S6700、CE6800、S9300,具体以手册为准。

6.2 忘记Console 接口密码

如果忘记了Console口登录密码,用户可以通过以下两种方式来设置新的Console口登录密码。

  • 通过Telnet/SSH登录交换机设置新的Console口登录密码

这种方法的前提是:用户拥有STelnet账号并且具有管理员的权限。用户通过STelnet账号登录交换机后,请按照如下步骤进行配置。
以登录用户界面的认证方式为密码认证,密码为Password为例,配置如下。

<HUAWEI> system-view 
[HUAWEI] user-interface console 0 
[HUAWEI-ui-console0] authentication-mode password 
[HUAWEI-ui-console0] set authentication password cipher Password 
[HUAWEI-ui-console0] return 
<HUAWEI> save
  • 通过BootROM/BootLoad清除Console口登录密码

通过Console口连接交换机,并重启交换机。当界面出现以下打印信息时,及时按下快捷键“Ctrl+B”并输入BootROM/BootLoad密码,进入BootROM/BootLoad主菜单。

框式交换机打印信息:

 Press Ctrl+B to enter boot menu ...  1 
 Password:       //输入BootROM密码盒式交换机打印信息: 
 Press Ctrl+B or Ctrl+E to enter BootROM menu ... 2 
 password:      //输入BootROM密码 说明: 

盒式交换机的某些款型支持使用快捷键“Ctrl+E”进入BootROM/BootLoad主菜单,请根据设备的界面提示操作。

默认密码为Admin@huawei.comhuawei

BootROM/BootLoad主菜单下选择“Clear password for console user”清除Console口登录密码。
根据交换机的提示,在BootROM/BootLoad主菜单下选择“Boot with default mode”启动设备。
完成系统启动后,通过Console口登录时不需要认证,登录后按照系统提示配置验证密码。

6.3 交换机系统初始化

对交换机配置进行初始化,可以通过使用以下命令实现

reset saved-configuration

6.4 交换机SSH远程交换机

ssh client first-time enable
stelnet -a IP PORT

使用完
undo ssh client first-time enable