内网网络安全技术

li工

已于 2024-07-17 13:01:21 修改

阅读量2.6k

点赞数 2

分类专栏：华为学习日记文章标签： web安全网络安全

于 2023-05-29 19:06:43 首次发布

本文链接：https://blog.csdn.net/Ddfgxfgg/article/details/130927883

版权

华为学习日记专栏收录该内容

30 篇文章 34 订阅

订阅专栏

本文介绍了网络设备中关于端口隔离的不同模式，如二层三层全隔离和二层隔离三层互通的配置。此外，还讨论了MAC地址表的安全措施，包括静态和动态MAC地址管理，以及防止MAC地址漂移的方法。同时，提到了MACsec提供的二层数据安全传输功能。流量控制和风暴控制确保网络稳定，DHCPsnooping和IPSG则增强了IP地址管理和网络安全。

摘要由CSDN通过智能技术生成

技术一、端口隔离

端口隔离（只针对同一个设备上的端口隔离组成员）

类型

双向隔离
        同一隔离组内相互隔离，不同组之间不隔离

单向隔离
        不同端口隔离组接口之间隔离，缺省下未配置

隔离模式

    二层  L2   二层隔离三层互通
        同一vlan下不同端口可以进行三层通信
        采用二层隔离三层互通的隔离模式时，在VLANIF接口上使能VLAN内Proxy ARP功能，配置arp-proxy inner-sub-vlan-proxy enable，可以实现同一VLAN内主机通信。

     三层  all   二层三层都隔离
           二三层隔离无法通信，无法通过网关互通

实验

端口隔离实验

1.实现二层三层全隔离，采用同一个隔离组

SW：
vlan batch 10 20
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
port-isolate mode all     //all 启用二层三层全隔离或者选用l2做二层隔离
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port-isolate enable group 1

2.实现二层隔离三层互通，采用不同隔离组

#
vlan batch 10 20
# 
port-isolate mode l2     //配置端口隔离模式为二层隔离
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 arp-proxy inner-sub-vlan-proxy enable    //启用ARP代理
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port-isolate enable group 2
#

二、MAC地址表安全

MAC地址表安全功能

静态mac地址表项

    上行设备或信任设备配置为静态mac
    mac-address  static   mac地址   接口   vlan  x

黑洞mac地址表

    防止通过mac地址攻击网络，交换机对黑洞mac进行丢弃
    mac-address blackhole    mac-address  vlan（选配）

动态老化时间

    合理配置老化时间，防止mac地址暴增
    mac-address   aging-time   x

禁止mac地址学习

    对于已经固定的场景，进行限制
    接口下 
        mac-address  learning  disable  action  discard 

    vlan下
        mac-address  leaning  disable

限制mac地址学习数量

    在安全性较差的环境中，限制数量，可以防止攻击者变换mac地址攻击
    接口  
        mac-limit  max x

    到达数量后的动作
        mac-limit  action   （discard  |  forward）

    达标后是否进行警告
        mac-limit  alarm  （disable  |  enable）

    配置基于vlan 限制mac地址学习
        vlan下
            mac-limit  max  x

实验

动态mac表项实验拓扑
SW1

#
vlan batch 10 20
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet0/0/1
 mac-address learning disable action discard
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
 mac-limit maximum 2
 mac-limit alarm enable   //使能告警设置
#

实验结果：1接口接入的终端无法ping通网关，2接口接入的终端，在第三台设备进行通信的时候，会发生警告。

三、端口安全

端口安全

端口安全会将接口学习到的动态mac地址转换为一下三种

安全动态mac地址 --频繁接入

    使能端口安全而未使能sticky mac 功能时转换的mac地址

安全静态mac地址 --少量接入

    使能端口安全时手工配置的静态mac地址

sticky mac地址 --大量接入

    使能端口安全后又同时使能sticky mac功能后转换到的mac地址

处理动作

    restrict：丢弃源mac地址不存在的报文并上报
    protect：只丢弃源mac不存在的报文，不上报
    shutdown接口状态被down，并上报告警

实验
延续刚才的拓扑图，利用2口测试
命令：

#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
 port-security enable    //使能端口安全
 port-security protect-action shutdown   //配置超过动作为shutdown
 port-security max-mac-num 2   //配置最大mac为2
#

当使用三台设备分别与网关通信的时候，产生了告警并且进行关闭端口处理、此时需要手工打开
在这里插入图片描述

四、MAC地址漂移防止与检测

在没有开启stp的时候，漂移指的是一个vlan内有两个接口学习到同一个mac地址的现象。

防止

出现因素：环路、或遭受网络攻击行为
在不启用stp的情况下，使用以下方式
    配置接口mac地址学习优先级    默认为0，越大越优先
        mac-learning  priority    x

    配置不允许相同优先级接口mac地址漂移
        undo mac-learning  priority  0  allow-flop

检测

错误 动作
    error-down  配置mac地址漂移检测的接口检测到以后，更改为error-down
    quit--vlan
        检测到以后退出vlan

实验：将两个终端的mac地址将另外一个终端的mac复制粘贴到另一个进行应用。
在这里插入图片描述
交换机启用时，由于默认启用漂移检测，则会检测到mac地址漂移，进行选举。

现在将1口的学习优先级提高，使设备选择1口

 mac-learning priority 3   //越大越优

五、MACsec

MACsec （部分设备支持）
提供二层数据安全传输
使用场景
在接入交换机与上联的汇聚或者核心之间配置

六、流量控制

流量抑制
    接口入方向，设置阈值，超过会丢弃，可以限制任意报文
    接口出方向，阻塞广播，未知组播，未知单播
    vlan下，限制vlan内广播报文
    命令
        全局下 suppression   mode    by-packets 包模式   默认   |  by-bits   字节模式
        接口下    broadcast-suppressior    广播


风暴控制
    可以对接口下发惩罚机制，而流量抑制只是对流量限制
    只可以对接口入方向报文流量配置阈值

七、DHCP snooping

保障业务的安全性，避免连接非法dhcp服务器
主要利用dhcp snooping信任和dhcp snooping 绑定表实现dhcp网络安全
命令

#
dhcp enable   //全局使能dhcn功能
#
dhcp snooping enable   //使能snooping功能
#
interface GigabitEthernet0/0/1    //上联dhcp服务器的接口或者核心/汇聚接口
 dhcp snooping  enable 
 dhcp snooping trusted
#
#########################
或者在vlan视图下

vlan 10
 dhcp snooping enable
 dhcp snooping trusted interface GigabitEthernet0/0/1
#

八、IPSG ip源防攻击、防止ip地址假冒

1.可以防止设备在不使用的时候，在外人假冒ip地址时做到防止攻击
2.防止在静态分配的场景下，通过ipsg限制非法的接入，防止内网资源浪费
配置位置
连接主机的接口
命令全局
user-bind static ipadd | ipv6 mac-address interface x
使能功能接口下 ip source check user-bind enable
警告接口下 ip source check user-bind alarm enable
警告阈值接口下 ip source check user-bind alarm threshold 100