- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
32-UAD配置
本章节下载: 32-UAD配置 (144.22 KB)
私接是指用户未经授权非法接入网络的行为。随着互联网技术的高速发展、海量接入设备的涌入,私接现象日益严重。为了有效解决以上问题,防私接检测技术应运而生。
UAD(Unauthorized Access Detection,防私接检测),是一种重要的用户接入安全防护功能。UAD通过对用户流量进行深入分析,判断网络中是否存在私接行为。若检测到网络中存在私接行为,设备将立即向控制器上报防私接告警,控制器根据预设策略阻断未经授权的用户接入网络。防私检测功能可以有效解决未经授权的接入用户对网络带来的安全隐患,例如私接路由器导致网络环路、非法接入用户访问非法网站难以准确定位追责等,同时可以防止因用户逃避计费造成的经济损失。防私接检测功能支持两种检测类型,并且具有部署简单、快速发现、快速处理等优点。
防私接Hub和防私接路由器的检测机制有所不同,具体如下:
· 防私接Hub:在私接Hub的场景中,可以通过检测单接口下是否存在多个IP地址和MAC地址进行判断。由于正常情况下,一个用户接口仅对应一个IP地址和MAC地址,当系统检测到某个用户接口下存在多个IP地址和MAC地址交叉出现时,则会判定此种情况为私接Hub设备。
· 防私接路由器:在私接路由器的场景中,可以通过检测TTL值判断是否存在私接。TTL的初始值一般为128、64、255、32、1等,经过一个路由设备后,TTL值会减1。当设备检测到用户报文的TTL值不是初始值,则认为存在私接路由器行为。
系统视图下,配置uad enable命令后,设备的所有接口将开启防私接检测功能,检测设备接口下是否存在私接Hub或路由器设备的情况。当设备检测到存在私接行为后,设备将通知控制器,由控制器对私接设备进行相应的处理。
在设备接口下配置uad enable命令后,该接口将开启防私接检测功能,包括防私接Hub和防私接路由器。
当系统视图下的防私接检测功能处于开启状态(执行uad enable命令)时,可以在接口视图下执行undo uad enable命令,关闭某个接口的防私接检测功能。当系统视图下的防私接检测功能处于关闭状态(执行undo uad enable命令)时,本命令不生效。
接口视图下的防私接检测功能支持的接口类型包括:二层物理接口、三层物理接口。
(1) 进入系统视图。
system-view
(2) 开启防私接检测功能。
uad enable { unauthorized-hub | unauthorized-router }
缺省情况下,防私接检测功能处于关闭状态。
(3) 进入三层接口视图。
interface interface-type interface-number
(4) 开启接口防私接检测功能。
uad enable
缺省情况下,接口防私接检测功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示UAD的相关信息。
表1-1 UAD的显示和维护
|
操作 |
命令 |
|
显示防私接的检测结果 |
display uad detection-results [ interface-type interface-number | interface-name ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
