华为ne40黑名单与全局策略

author author     2022-09-15     342

关键词:

    据运维同事反馈,华为NE40的黑名单在实际配置中没有生效。恰巧,公司近日又购置了一批NE40设备。因此,黑名单这个功能和一些需要测试的功能一同测试了下。


黑名单

配置黑名单,将不安全的报文依据ACL规则加入到黑名单中,以便后续对其提供较小的带宽。

如果用户认为某些IP的报文不应该被上送到CPU,或者认定某些报文是非法报文,可以通过设置ACL规则将其加入到黑名单中,将之丢弃。黑名单中的用户都需要手动配置,没有缺省用户。

基础配置

1、配置黑名单

技术分享

技术分享

2、调用策略

技术分享

测试过程

1、ping测试

测试过程中发现,无论是否调用cpu-defend-policy,都能ping通。

技术分享

查阅文档,发现板卡自带icmp快回功能,也就是说板卡处理了icmp请求,没有提交cpu处理,因此,测试结果都是ping通的。

板卡下关闭icmp快回功能后,再次测试,无法正常ping通。

技术分享


2、telnet测试

使用telnet测试,调用黑名单后,效果如下图所示。

技术分享

关闭tcpsyn-flood,重新调用,效果如下图所示。

技术分享

查看tcp session,如下图所示。

技术分享

此时抓包发现已经建立了三次握手,且在不断的TCP重传。


取消黑名单策略,能够正常访问了。

技术分享

查看tcp session,如下图所示。

技术分享


猜测是板卡处理三次握手,之后提交cpu处理。由于黑名单,板卡不上传cpu处理,cpu不知道已经建立了连接,所以tcp status看不见。也就是说,其实设备已经和目标建立了TCP连接,只是我们看不到。


全局策略

和普通的CBQ一样,不同的是,全局CBQ能够作用在设备所有的接口上。

配置过程

技术分享


测试结果

测试时,发现无论是否开启icmp快回,都无法ping通。这是因为策略是下发到板卡的,转发平面已经处理完了。


总结:通过以上测试,我们可以发现全局策略的方式在访问控制方面比黑名单更彻底,也更安全。因为全局策略作用在转发平面,而黑名单作用在转发平面上传控制平面的时候。


本文出自 “Gorilla City” 博客,请务必保留此出处http://juispan.blog.51cto.com/943137/1956514

华为网络设备介绍及基础配置命令(代码片段)

一、华为产品分类:.目前华为网络产品有路由器、交换机、防火墙。.1、路由器路由器主要分为AR系列和NE系列:AR系列路由器:AR系列是华为推出的新一代网络产品,主要面向企业及分支机构。AR系列集成路由、交换、3G、语音和... 查看详情

华为云·云筑2020应用服务考卷答案

...证,防止API被恶意调用B.设置访问控制策略,设置白名单/黑名单C.将API绑定流控策略,通过流控策略保护APID.开 查看详情

华为ne40e路由器实验配置示例|配置evdpdndvplsoversrv6be

组网需求如图1所示:PE1、P和PE2属于同一自治系统,要求它们之间通过IS-IS协议达到IPv6网络互连。然后在PE1和PE2之间通过建立双向SRv6BE承载EVPNE-LAN业务。图1 配置EVPNVPLSoverSRv6BE组网图配置思路使能PE1、P和PE2各接口的IPv6转... 查看详情

华为ce是啥设备型号是啥

华为的CE(CustomerEdge)设备:是用户网络边缘设备,有接口直接与服务提供商相连,可以是路由器,也可以是交换机等。CE是感知不到VPN的存在的。与之对应的是PE,PE是运营商边缘路由器(ProviderEdge)。CE和PE的划分主要都是从运... 查看详情

华为fw报文处理流程

...话,不能匹配任一会话的就认为是首包 首包处理流程黑名单匹配(这个不是acl,有专门的黑 查看详情

华为ne40e路由器实验配置示例|配置l3vdpdndoverospfsr-mplsbe(代码片段)

组网需求如图1所示:CE1、CE2属于vpna。vpna使用的VPN-target属性为111:1。配置L3VPN迭代OSPFSR-MPLSBE隧道,保证相同VPN用户之间的安全互访。同时由于公网PE之间存在多条链路,要求数据流量在公网能够进行负载分担。图1 L3VPN迭代... 查看详情

华为ne40e路由器实验配置示例|配置非标签公网bgp路由迭代sr-mplsbe隧道(代码片段)

组网需求当用户通过运营商网络访问互联网时,如果报文采用IP转发的话,则从用户到互联网路径上的运营商核心设备都需要学习到大量的互联网路由,这给运营商的核心设备带来了很大的负担,影响核心设备的... 查看详情

华为ne16ex路由器清除密码步骤

在BootLoader下配置跳过Console口密码启动后,修改Console口密码设备的BootLoader提供了配置跳过Console口密码启动的功能,可以在用户使用Console口登录的时候跳过密码检查。这样系统启动后除了不需要输入Console密码外,与正常启动相... 查看详情

如何访问 JwtToken 以检查 nestjs 护照策略中的黑名单?

】如何访问JwtToken以检查nestjs护照策略中的黑名单?【英文标题】:HowtogetaccesstoJwtTokentocheckwithblacklistwithinnestjspassportstrategy?【发布时间】:2021-01-1003:06:22【问题描述】:我正在尝试在JWTStrategy中检查列入黑名单的JWT令牌。jwtFromReq... 查看详情

华为云服务-运维篇-负载均衡介绍与平台算法使用(代码片段)

...衡3、负载均衡算法3.1分类介绍3.2静态负载3.3动态负载5、华为云-弹性负载均衡类型6、华为云-ELB6.1添加转发策略6.1.1、概述6.1.2、实操步骤6.1.3、状态检查6.1.4、访问校验7、总结1、前言上一篇我们已经讲过负载均衡相关内容,... 查看详情

微软撤出windows断供华为!

华为被美国列入“实体名单”后,从硬件到软件再到技术标准,华为对外联系纷纷被掐断,其中软件系统方面,Google安卓系统已经停止与华为合作,Mate20Pro也被从安卓Q10.0的尝鲜名单中移除。更严重的是,微软也要与华为... 查看详情

华为mate40和华为p40的区别哪个好

华为Mate40Pro的正面屏幕依旧采用曲面屏,曲率甚至比P40Pro还要大,以至于左右两边根本看不到边框,同时华为Mate40Pro的上边框框也只有一条小细黑线,美中不足的是,华为Mate40Pro采用双挖孔全面屏,略显突兀影响美感。京东华为... 查看详情

华为网络设备与基础配置(代码片段)

华为的网络设备与Cisco的网络设备原理上大致都是一样。不同就是华为有很多的私有的技术。有学过Cisco的网络设备,当然学习华为也不是什么费事的事情。目前很多企业的网络部署都是混合部署,就是多厂商设备混合使用。混... 查看详情

常见的一些反爬虫策略(上篇)-java网络爬虫系统性学习与实战系列

常见的一些反爬虫策略(上篇)-Java网络爬虫系统性学习与实战系列(9)文章目录联系方式概述反爬虫策略通过User-Agent校验反爬(附上网上最全User-Agent爬虫名单)网上最全User-Agent爬虫名单设置访问频率限制IP限制Cookie限制Referer通... 查看详情

ensp镜像放哪里

...入方法:打开之前解压的文件夹,分别右击解压CE、CX、NE40E、NE5000E、NE9000及USG6000V。在ensp里,新建拓扑。点击路由器,分别拖入NE40E、NE500E、NE9000及CX。右击NE1,点击启动,找到说明中的NE40设备包,导入。点击浏览,找到刚刚我... 查看详情

ensp镜像放哪里

...入方法:打开之前解压的文件夹,分别右击解压CE、CX、NE40E、NE5000E、NE9000及USG6000V。在ensp里,新建拓扑。点击路由器,分别拖入NE40E、NE500E、NE9000及CX。右击NE1,点击启动,找到说明中的NE40设备包,导入。点击浏览,找到刚刚我... 查看详情

常见的一些反爬虫策略(上篇)-java网络爬虫系统性学习与实战系列

常见的一些反爬虫策略(上篇)-Java网络爬虫系统性学习与实战系列(9)文章目录联系方式概述反爬虫策略通过User-Agent校验反爬(附上网上最全User-Agent爬虫名单)网上最全User-Agent爬虫名单设置访问频率限制IP限制Cookie限制Referer通... 查看详情

cisico与华为命令的对比

一、cisico的基本配置(1)router>用户模式(2)router#特权模式(3)router(config)#全局配置模式(4)router(config-if)#接口模式(5)Router>enable从用户模式进入到特权模式(6)Router#configureterminal从特权到全局配置模式(7)Router(config)... 查看详情