端口隔离
当VLAN资源有限,为了实现报文的二层隔离(注意只在本设备生效,接口可以设置多个组)
隔离类型 :
单向隔离:同一隔离组的接口相互隔离,不同隔离组之间不隔离
[Huawei-GigabitEthernet0/0/1] port-isolate enable [** group** group-id ]
双向隔离:实现不同隔离组之间的隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
隔离模式:
二层隔离三层互通(缺省)
二层三层都隔离
[Huawei] port-isolate mode {** l2** |** all **}
MAC地址安全
MAC地址表项:MAC地址、接口编号、VLAN ID、MAC地址表项类型
MAC地址表项分类
动态MAC地址表项:动态学习会老化(老化时间300s)
静态AMC地址表项:手工指定不会老化即便重启;其他接口收到该MAC就丢弃
黑洞MAC地址表项:手工指定不会老化即便重启,源目MAC是该MAC就丢弃
MAC地址表安全
实现方法:
静态MAC地址表项
[Huawei] **mac-address static *mac-addressinterface-type interface-number ***vlan **vlan-id
黑洞MAC地址表项
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
动态MAC地址老化时间
[Huawei] **mac-address aging-time **aging-time
禁止MAC地址学习功能
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward }]
[Huawei-vlan2] mac-address learning disable
限制MAC地址学习数量
[Huawei-GigabitEthernet0/0/1] **mac-limit maximum **max-num
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }
[Huawei-vlan2] **mac-limit maximum **max-num
端口安全
1.通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
2.端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
安全动态MAC地址
使能端口安全未使能Sticky MAC功能的动态MAC地址 (默认不会老化可以设置老化时间但重启会丢失)
安全静态MAC地址
使能端口安全的静态MAC地址 (不会丢失)
Sticky MAC
使能端口安全也使能Sticky MAC功能的MAC地址 (不会丢失)
安全动作
Restrict:丢弃源MAC地址不存在的报文并上报告警。
Protect:只丢弃源MAC地址不存在的报文,不上报告警。
Shutdown:接口状态被置为error-down,并上报告警。 //**error-down auto-recovery cause port-security interval **interval-value命令使能接口状态自动恢复。
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] **port-security max-mac-num **max-number
[Huawei-GigabitEthernet0/0/1] port-security mac-addressmac-addressvlanvlan-id
[Huawei-GigabitEthernet0/0/1] **port-security protect-action **{ protect | restrict | shutdown }
[Huawei-GigabitEthernet0/0/1] port-security aging-timetime [ type { absolute | inactivity } ]
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1] port-security max-mac-nummax-number
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-addressvlanvlan-id
MAC地址漂移
交换机上一个vlan内有两个接口学习到同一个MAC地址,后学习到的MAC地址覆盖原有MAC地址表项的现象。
出现大量MAC地址漂移意味着网络中存在环路或者存在网络攻击行为。
防止MAC地址漂移
对于环路产生的MAC地址漂移破除环路即可
1.配置接口优先级 // mac-learning priority 5
2.配置不允许相同优先级接口MAC地址漂移 // undo mac-learning priority 0 allow-flapping
MAC地址漂移检测
1.基于VLAN的MAC地址漂移检测
检测同一VLAN下所有MAC地址是否出现漂移,可以采取的动作:
告警:产生和发送告警信息
接口阻断:接口不收发报文
MAC地址阻断:接口不能收发该MAC地址的报文
2.全局MAC地址漂移检测
检测到MAC地址漂移后,默认上告报警:
关闭接口:
quit-VLAN:退出当前接口所属vlan
MACsec
提供二层数据安全传输
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为802.1AE。
工作工程:
数据完整性检测、数据加密、数据源真实性检查。重放保护
交换机流量控制
流量抑制
作用:保护设备不被大量的流量冲击,以及避免大量的BUM帧泛洪。
实现方式:设备的入接口:可以对所有的流量进行过滤
设备的出接口:可以对BUM帧进行抑制
在vlan视图下:可以对VLAN内的广播流量抑制
[Huawei] suppression mode { by-packets | by-bits }
[Huawei-GigabitEthernet0/0/1] **{ broadcast-suppression | multicast-suppression | ****unicast-suppression} ****{ percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }**
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound
[Huawei-vlan2] **broadcast-suppression **threshold-value
风暴控制
风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。
DHCP Snooping
保证DHCP客户端从合法的DHCP服务器获取IP地址
DHCP Snooping绑定表:收到DHCP ACK报文中提取关键信息,并获取与PC连接的使能了DHCP Snooping功能的接口信息
通过绑定表记录IP地址、MAC地址、接口编号、VLAN、租期等信息。设备转发数据的时候匹配绑定表进行转发,不匹配则丢弃
DHCP 饿死攻击
攻击者通过不断伪造源MAC地址不同的的DHCP discover报文,向服务器申请IP地址。
解决办法:通过DHCP snooping的MAC地址限制功能来防止
改变CHADDR值的DOS攻击
解决方法:检查DHCP Request报文中CHADDR字段与源地址是否相同。
dhcp** snooping check dhcp-chaddr enable**
中间人攻击
攻击者利用ARP机制,让Client学习到DHCP Server IP与Attacker(攻击者) MAC的映射关系,又让Server学习到Client IP与Attacker Mac的映射关系。本质上是一种嗅探攻击。
解决方法:DHCP snooping绑定表
IP地址欺骗攻击
解决方法:IP源防攻击(IPSG,IP Source Guard),是一种基于二层接口的源IP地址过滤技术。
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
版权归原作者 请求重开 所有, 如有侵权,请联系我们删除。