华为交换机实用安全特性配置,别忽略这个关键步骤

号主:老杨丨11年资深网络工程师更多网工提升干货,请关注公众号:网络工程师俱乐部

下午好,我的网工朋友。

我们的日常生活越来越依赖于互联网和网络技术,因此网络安全与我们的生活息息相关。

通过配置交换机的安全特性,可以提高网络的安全性,防止未经授权的访问、数据泄露和网络攻击等安全威胁,在信息时代避免”裸奔“。

今天就来说说华为交换机的安全特性配置,快速上手避免安全侵害。

今日文章阅读福利:《 华为交换机开局配置一本通 》

私信发送暗号“一本通”,即可获取这份优质PDF资源。

01 黑洞MAC地址

为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。

交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。

在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。

 <HUAWEI> system-view
 [HUAWEI] mac-address blackhole 0000-0012-0034

在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。

<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10

配置完成后,可以通过display mac-address blackhole命令查看配置的黑洞MAC。

02 端口安全 mac地址的限制

S系列和E系列交换机(S1700除外)配置端口安全的步骤如下:

[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet1/0/1] port-security mac-address sticky //使能sticky MAC功能。使能端口安全后,才可以再使能sticky MAC功能
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 3 //使能端口安全后,接口默认限制数为3,如果确认限制一个用户,可以不用配置

端口安全的配置注意事项:

  • 端口安全的默认安全MAC地址的限制数是1个,即只能学习一个MAC地址表项,请根据组网需求正确配置安全MAC地址的限制数。
  • 端口安全和RRPP、Smart Link、SEP、ERPS不能配置在同一端口上,否则会导致RRPP、Smart Link、SEP、ERPS无法破环。
  • 端口安全功能与基于接口的MAC地址学习限制功能相冲突,不能在同一接口下配置port-security enable和mac-limit maximum命令。
  • 端口安全功能与MUX VLAN功能相冲突,不能在同一接口下配置port-security enable和port mux-vlan enable命令。
  • 端口安全功能与NAC功能相冲突,不能在同一接口下配置port-security enable和mac-authen、dot1x enable或authentication-profile命令。
  • 端口安全功能与根据绑定表生成Snooping类型MAC表项功能相冲突,不能在同一接口下配置port-security enable和user-bind ip sticky-mac命令。
  • 配置mac-address learning disable后再配置端口安全,动态的端口安全功能不生效。如果先配置端口安全再配置mac-address learning disable,设备将不再学习MAC地址,但之前学习到的安全MAC地址(包括手工配置的安全静态MAC地址)会保留。

03 配置静态ARP

S系列和E系列交换机(S1700除外)上可以在系统视图下通过执行命令arp static来配置静态ARP。配置静态ARP表项时:

  • 当出接口是以太网接口,可以执行命令arp static ip-address mac-address interface interface-type interface-number,配置静态ARP表项。
  • 当需要指定ARP表项所属的VPN实例时,可以执行命令arp static ip-address mac-address vpn-instance vpn-instance-name,配置静态ARP表项。
  • 当需要配置短静态ARP表项(仅建立IP和MAC的对应关系,不指定所属VLAN和出接口),可以执行命令arp static ip-address mac-address,配置短静态ARP表项。

配置一条静态ARP表项,IP地址为10.1.1.1,对应的MAC地址为0efc-0505-86e3,此条静态ARP表项属于VLAN10,出接口为GE1/0/1。

[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vid 10 interface gigabitethernet 1/0/1

配置一条静态ARP表项,IP地址为10.1.1.1,对应的MAC地址为0efc-0505-86e3,此静态ARP表项属于VPN实例vpn1。

[HUAWEI] ip vpn-instance vpn1
[HUAWEI-vpn-instance-vpn1] ipv4-family
[HUAWEI-vpn-instance-vpn1-af-ipv4] quit
[HUAWEI-vpn-instance-vpn1] quit
[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vpn-instance vpn1

04 IPSG(指基于静态绑定表的IPSG)

和端口安全都可以实现MAC地址和接口的绑定,它们的主要区别如下表所示。

特性

功能介绍

应用场景

IPSG

通过在绑定表中固定MAC和接口的绑定关系,实现固定主机只能从固定接口上线,并且绑定表以外的非法MAC主机无法通过设备通信。绑定表项需要手工配置,如果主机较多,配置工作量比较大。

绑定MAC和接口只是IPSG的一部分功能,IPSG能实现IP地址、MAC地址、VLAN和接口之间的任意绑定。它主要用来防止IP地址欺骗攻击,如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

端口安全

通过将接口学习到的指定数量的动态MAC地址转换为安全MAC地址,以固定MAC表项,实现固定主机只能从固定接口上线,并且MAC表以外的非法MAC主机无法通过设备通信。安全MAC地址是动态生成的,无需手工配置。

防止非法主机接入,还可以控制接入主机的数量,比较适合于主机较多的场景。

因此,如果只是希望阻止非法MAC通过设备通信,并且在主机较多的环境下,配置端口安全更合适。

例如在接口GE0/0/1上使能端口安全,限制只允许前100个MAC地址通过设备通信。配置示例如下:

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 100

而如果是通过配置IPSG实现,则需要手工创建100条静态绑定表项。示例如下(仅以创建一条绑定表项为例说明):

而如果是通过配置IPSG实现,则需要手工创建100条静态绑定表项。示例如下(仅以创建一条绑定表项为例说明):

<HUAWEI> system-view
[HUAWEI] user-bind static mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enabl

 整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值