H3C AR18-21A路由器的虚拟服务器怎么配置?

H3C AR18-21A路由器的虚拟服务器怎么配置?,第1张

没玩过这方面的,在别的地方抄的
路由器虚拟服务器设置2007-12-09 10:20DMZ主机:
什么是“DMZ”?
即内网和外网均不能直接访问的区域,多用于连接、>AR-2718要当成网络打印机用就必须加一个并口打印服务器或者USB口打印服务器,然后在电脑上安装驱动程序就可以打印了。
共享打印是在一台服务器上装上打印驱动程序,然后将打印机共享,其他电脑要共享打印首先在网络上找到该服务器,然后打开后就可以看见共享打印机图标,双击就可以用了,(win7系统是要装驱动的)。这台服务器是不能关机的,关了就无法共享打印。

ARP欺骗指恶意用户通过发送伪造的ARP报文,恶意修改网关或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
恶意用户仿冒其他用户向网关发送ARP报文,导致网关学习到错误的用户ARP表项。
恶意用户仿冒网关发出ARP报文,导致网络中其他用户学习到错误的网关ARP表项。
恶意用户通过构造畸形的ARP报文进行攻击,导致路由器学习到错误的ARP表项。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项固化
路由器支持三种ARP表项固化模式,这三种模式适用于不同的应用场景,且是互斥关系。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入路由器时,路由器上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
动态ARP检测(DAI)
使能DAI的路由器会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成,也可手工配置指定。
ARP防网关冲突
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关路由器上使能ARP防网关冲突攻击功能。当路由器收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC。
路由器就认为该ARP报文是与网关地址冲突的ARP报文,路由器将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
发送ARP免费报文
在网关路由器上配置发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。
ARP报文内MAC地址一致性检查
路由器收到ARP报文时,对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络路由器的攻击。
ARP报文合法性检查
为了防止非法ARP报文的攻击,可以在接入路由器或网关路由器上配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。路由器提供以下三种可以任意组合的检查项配置:
IP地址检查:路由器会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
源MAC地址检查:路由器会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。
目的MAC地址检查:路由器会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。
ARP表项严格学习
配置ARP表项严格学习功能后,只有本路由器主动发送的ARP请求报文的应答报文才能触发本路由器学习ARP,其他路由器主动向本路由器发送的ARP报文不能触发本路由器学习ARP,这样可以拒绝大部分的ARP报文攻击。
DHCP触发ARP学习
在DHCP用户场景下,当DHCP用户数目很多时,路由器进行大规模ARP表项的学习和老化会对路由器性能和网络环境形成冲击。为了避免此问题,可以在网关路由器上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关路由器会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。
配置方法
配置ARP表项固化
使能ARP表项固化功能,指定固定模式为固化MAC方式。
<Huawei> system-view
[Huawei] arp anti-attack entry-check fixed-mac enable
配置动态ARP检测(DAI)
使能接口Eth1/0/1下的动态ARP检测功能。
<Huawei> system-view
[Huawei] interface ethernet 1/0/1
[Huawei-Ethernet1/0/1] arp anti-attack check user-bind enable
配置ARP防网关冲突
使能ARP防网关冲突攻击功能。
<Huawei> system-view
[Huawei] arp anti-attack gateway-duplicate enable
配置发送ARP免费报文
在接口VLANIF10下使能发送免费ARP报文的功能。
<Huawei> system-view
[Huawei] interface vlanif 10
[Huawei-Vlanif10] arp gratuitous-arp send enable
配置ARP报文内MAC地址一致性检查
使能指定接口的ARP报文内MAC地址一致性检查。
<Huawei> system-view
[Huawei] interface gigabitethernet 1/0/1
[Huawei-GigabitEthernet1/0/1] arp validate source-mac destination-mac
配置ARP报文合法性检查
使能ARP报文合法性检查功能,并指定ARP报文合法性检查时检查源MAC地址。
<Huawei> system-view
[Huawei] arp anti-attack packet-check sender-mac
配置ARP表项严格学习
指定接口的ARP表项严格学习功能。
<Huawei> system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置DHCP触发ARP学习
使能接口VLANIF100的DHCP触发ARP学习功能。
<Huawei> system-view
[Huawei] vlan batch 100
[Huawei] dhcp enable
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning dhcp-trigger
防ARP泛洪攻击
攻击行为
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项限制
设备基于接口限制学习ARP表项的总数目,可以有效地防止ARP表项溢出,保证ARP表项的安全性。
ARP速率抑制
设备对单位时间内收到的ARP报文进行数量统计,如果ARP报文的数量超过了配置的阈值,超出部分的ARP报文将被忽略,设备不作任何处理,有效防止ARP表项溢出。
ARP表项严格学习
设备仅学习本端发送的ARP请求报文的应答报文,并不学习其它设备向路由器发送的ARP请求报文和非本端发送的ARP请求报文的应答报文,可以拒绝掉ARP请求报文攻击和非自己发送的ARP请求报文对应的应答报文攻击。
ARP端口级防护
设备基于端口对ARP上送速率进行监控,当某端口ARP上送控制面报文速率超过特定阈值时,会将该端口的ARP报文通过单独通道上送控制面,避免攻击影响正常的ARP报文。此外,设备还支持将攻击端口的ARP报文阻塞一段时间,而不是通过单独的通道上送。
ARP用户级防护
设备对用户(基于MAC地址或者IP地址)上送控制面的ARP报文速率进行监控,当某用户ARP报文速率超过特定阈值时,会将该用户ARP报文丢弃一段时间。
配置方法
ARP表项限制
配置指定接口最多可以学习到的ARP表项数量。
<Huawei> system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp-limit maximum 20
ARP速率抑制
对ARP报文采用基于源IP地址进行时间戳抑制,速率为每秒50个ARP报文。
<Huawei> system-view
[Huawei] arp speed-limit source-ip maximum 50
配置ARP表项严格学习
ARP表项严格学习既可以基于全局,也可以基于指定的接口配置,两者有如下的关系:
当全局和接口同时配置了ARP严格学习功能时,采用接口下配置的策略。
当接口下没有配置ARP严格学习功能时,采用全局下配置的ARP严格学习策略。
使能全局的ARP表项严格学习功能。
<Huawei> system-view
[Huawei] arp learning strict
使能指定接口的ARP表项严格学习功能。
<Huawei> system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置ARP端口级防护
ARP端口级防护默认开启,无需手工配置。此外,还可以配置ARP报文限速。
配置接口Eth2/0/0在1秒钟内最多允许50个ARP报文通过。
<Huawei> system-view
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit enable
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit 50 1
配置ARP用户级防护
ARP用户级防护基于用户MAC地址或者IP地址进行。
<Huawei> system-view
[Huawei] cpu-defend policy antiatk
[Huawei-cpu-defend-policy-antiatk] auto-defend enable
[Huawei-cpu-defend-policy-antiatk] auto-defend threshold 30
[Huawei-cpu-defend-policy-antiatk] undo auto-defend trace-type source-portvlan
[Huawei-cpu-defend-policy-antiatk] undo auto-defend protocol tcp telnet ttl-expired igmp icmp dhcp
[Huawei-cpu-defend-policy-antiatk] auto-defend action deny timer 300
[Huawei-cpu-defend-policy-antiatk] quit
[Huawei] cpu-defend-policy antiatk
[Huawei] cpu-defend-policy antiatk

1、首先打开“打印机和传真”窗口,单击窗口左侧的“添加打印机”链接。

2、在打印机类型里面选择“网络打印机或连接到其它计算机的打印机”,如下图。

3、单击“下一步”,在“指定打印机”界面选择“浏览打印机”的方式,连接网络上其它打印机。

4、单击“下一步”,在“浏览打印机”界面浏览打印机。

5、单击“下一步”命令按钮,d出完成添加打印机向导界面,单击“完成”命令按钮,完成添加打印机的任务。

可以。
AR相机功能入口位于英雄界面,召唤师们可以选择自己喜欢的英雄及皮肤进行AR合照。iOS:iphone7、iphone7Plus、iphone8,iphone8Plus,iphoneX。安卓:OPPOR15。目前已经开放AR功能的服务器如下,其他服务器将逐步开放:iOS手Q:全部服务器iOS微信:全部服务器所以如果不是上面这些手机型号,以及服务器的话,暂时还无法使用AR功能,还得再等一段时间哦。由于AR相机功能配置需要初始化,符合以上机型要求的召唤师们在更新了版本后,需要关闭游戏,重新打开后,才能看到AR相机功能。
如果你在重新进入游戏后,仍然没有找到这个AR相机,原因如下:该功能依赖于机型底层AR模块的支持,且需要较长的开发与联调周期,暂仅灰度支持以下机型,目前已经在进行其他机型的开发与联调,敬请期待。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13486335.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-16
下一篇 2023-08-16

发表评论

登录后才能评论

评论列表(0条)

保存