号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
下午好,我的网工朋友。
我们的日常生活越来越依赖于互联网和网络技术,因此网络安全与我们的生活息息相关。
通过配置交换机的安全特性,可以提高网络的安全性,防止未经授权的访问、数据泄露和网络攻击等安全威胁,在信息时代避免”裸奔“。
今天就来说说华为交换机的安全特性配置,快速上手避免安全侵害。
今日文章阅读福利:《 华为交换机开局配置一本通 》
私信发送暗号“一本通”,即可获取这份优质PDF资源。
01 黑洞MAC地址
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。
在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0034
在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10
配置完成后,可以通过display mac-address blackhole命令查看配置的黑洞MAC。
02 端口安全 mac地址的限制
S系列和E系列交换机(S1700除外)配置端口安全的步骤如下:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet1/0/1] port-security mac-address sticky //使能sticky MAC功能。使能端口安全后,才可以再使能sticky MAC功能
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 3 //使能端口安全后,接口默认限制数为3,如果确认限制一个用户,可以不用配置
端口安全的配置注意事项:
- 端口安全的默认安全MAC地址的限制数是1个,即只能学习一个MAC地址表项,请根据组网需求正确配置安全MAC地址的限制数。
- 端口安全和RRPP、Smart Link、SEP、ERPS不能配置在同一端口上,否则会导致RRPP、Smart Link、SEP、ERPS无法破环。
- 端口安全功能与基于接口的MAC地址学习限制功能相冲突,不能在同一接口下配置port-security enable和mac-limit maximum命令。
- 端口安全功能与MUX VLAN功能相冲突,不能在同一接口下配置port-security enable和port mux-vlan enable命令。
- 端口安全功能与NAC功能相冲突,不能在同一接口下配置port-security enable和mac-authen、dot1x enable或authentication-profile命令。
- 端口安全功能与根据绑定表生成Snooping类型MAC表项功能相冲突,不能在同一接口下配置port-security enable和user-bind ip sticky-mac命令。
- 配置mac-address learning disable后再配置端口安全,动态的端口安全功能不生效。如果先配置端口安全再配置mac-address learning disable,设备将不再学习MAC地址,但之前学习到的安全MAC地址(包括手工配置的安全静态MAC地址)会保留。
03 配置静态ARP
S系列和E系列交换机(S1700除外)上可以在系统视图下通过执行命令arp static来配置静态ARP。配置静态ARP表项时:
- 当出接口是以太网接口,可以执行命令arp static ip-address mac-address interface interface-type interface-number,配置静态ARP表项。
- 当需要指定ARP表项所属的VPN实例时,可以执行命令arp static ip-address mac-address vpn-instance vpn-instance-name,配置静态ARP表项。
- 当需要配置短静态ARP表项(仅建立IP和MAC的对应关系,不指定所属VLAN和出接口),可以执行命令arp static ip-address mac-address,配置短静态ARP表项。
配置一条静态ARP表项,IP地址为10.1.1.1,对应的MAC地址为0efc-0505-86e3,此条静态ARP表项属于VLAN10,出接口为GE1/0/1。
[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vid 10 interface gigabitethernet 1/0/1
配置一条静态ARP表项,IP地址为10.1.1.1,对应的MAC地址为0efc-0505-86e3,此静态ARP表项属于VPN实例vpn1。
[HUAWEI] ip vpn-instance vpn1
[HUAWEI-vpn-instance-vpn1] ipv4-family
[HUAWEI-vpn-instance-vpn1-af-ipv4] quit
[HUAWEI-vpn-instance-vpn1] quit
[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vpn-instance vpn1
04 IPSG(指基于静态绑定表的IPSG)
和端口安全都可以实现MAC地址和接口的绑定,它们的主要区别如下表所示。
特性 | 功能介绍 | 应用场景 |
IPSG | 通过在绑定表中固定MAC和接口的绑定关系,实现固定主机只能从固定接口上线,并且绑定表以外的非法MAC主机无法通过设备通信。绑定表项需要手工配置,如果主机较多,配置工作量比较大。 | 绑定MAC和接口只是IPSG的一部分功能,IPSG能实现IP地址、MAC地址、VLAN和接口之间的任意绑定。它主要用来防止IP地址欺骗攻击,如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。 |
端口安全 | 通过将接口学习到的指定数量的动态MAC地址转换为安全MAC地址,以固定MAC表项,实现固定主机只能从固定接口上线,并且MAC表以外的非法MAC主机无法通过设备通信。安全MAC地址是动态生成的,无需手工配置。 | 防止非法主机接入,还可以控制接入主机的数量,比较适合于主机较多的场景。 |
因此,如果只是希望阻止非法MAC通过设备通信,并且在主机较多的环境下,配置端口安全更合适。
例如在接口GE0/0/1上使能端口安全,限制只允许前100个MAC地址通过设备通信。配置示例如下:
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 100
而如果是通过配置IPSG实现,则需要手工创建100条静态绑定表项。示例如下(仅以创建一条绑定表项为例说明):
而如果是通过配置IPSG实现,则需要手工创建100条静态绑定表项。示例如下(仅以创建一条绑定表项为例说明):
<HUAWEI> system-view
[HUAWEI] user-bind static mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enabl
整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部