返回
h3c防火墙配置说明书

h3c防火墙配置说明书

ID:28670266

大小:624.43 KB

页数:27页

时间:2018-12-12

h3c防火墙配置说明书_第1页
h3c防火墙配置说明书_第2页
h3c防火墙配置说明书_第3页
h3c防火墙配置说明书_第4页
h3c防火墙配置说明书_第5页
资源描述:

《h3c防火墙配置说明书》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、H3C防火墙配置说明杭州华三通信技术有限公司版权所有侵权必究Allrightsreserved相关配置方法:安全要求-设备-路由器-功能-14设备应支持路由协议(OSPF/ISIS/BGP等)认证,认证字以不可逆密文方式存放。待确认支持配置OSPF验证从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。要配置OSPF报文验证,同一个区域的所有路由器上都需要配

2、置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。表1-29配置OSPF验证操作命令说明进入系统视图system-view-进入OSPF视图ospf[process-id

3、router-idrouter-id

4、vpn-instancevpn-instance-name]*-进入OSPF区域视图areaarea-id-配置OSPF区域的验证模式authentication-mode{md5

5、simple}必选缺省情况下,没有配置区域验证模式退回OSPF视图quit-退回系统视图quit-进入接口视图interfa

6、ceinterface-typeinterface-number-配置OSPF接口的验证模式(简单验证)ospfauthentication-modesimple[cipher

7、plain]password二者必选其一缺省情况下,接口不对OSPF报文进行验证配置OSPF接口的验证模式(MD5验证)ospfauthentication-mode{hmac-md5

8、md5}key-id[cipher

9、plain]password 提高IS-IS网络的安全性在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻

10、居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功能之前,需完成以下任务:·配置接口的网络层地址,使相邻节点网络层可达·使能IS-IS功能配置邻居关系验证配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。表1-37配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interfacein

11、terface-typeinterface-number-配置邻居关系验证方式和验证密码isisauthentication-mode{md5

12、simple}[cipher]password[level-1

13、level-2][ip

14、osi]必选缺省情况下,接口没有配置邻居关系验证,既不会验证收到的Hello报文,也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关,具体请以设备的实际情况为准 必须先使用isisenable命令使能该接口才能进行参数level-1和level-2的配置。如果没有指定level-1或le

15、vel-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。 配置区域验证通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。同一区域内的路由器必须配置相同的验证方式和验证密码。表1-38配置区域验证操作命令说明进入系统视图system-view-进入

16、IS-IS视图isis[process-id][vpn-instancevpn-instance-name]-配置区域验证方式和验证密码area-authentication-mode{md5

17、simple}[cipher]password[ip

18、osi]必选缺省情况下,系统没有配置区域验证,既不会验证收到的Level-1报文,也不会把验证密码插入到Level-1报文中 配置路由域验证通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域。配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文(LSP、CSNP、PSNP)中,并对收到的

19、Level-2报文进行验证密码的检查。所有骨干层(Level-2)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。