● 该帧是一个广播帧。目的MAC地址的所有字节都设置为FF。
● 该帧为单播帧,目的MAC地址未知,不在MAC地址表中。这通常发生在交换机还没有学习到设备的MAC地址或条目过期时。
● 该帧为组播帧,目的MAC地址未知。组播帧的目的MAC地址由发送方根据目标组播组生成。除非使用IGMP snooping之类的特性,否则交换机也会因为目的MAC地址未知而淹没组播帧。你将在另一课中了解有关IGMP snooping的更多信息。
广播、未知单播和未知组播在稳定的网络中很常见,因为它们被发现和供应服务使用,而且MAC地址表中的动态表项可能会过期。然而,过多的流量也可能是人为错误(物理环路、错误配置)或攻击(DDoS)的迹象,这可能导致性能下降甚至服务中断。
风暴控制使您你够保护你的网络免受过多的流量泛滥。通过设置阈值,可以控制端口每秒内允许通过的广播、未知单播和未知组播报文的最大数量。超过端口上设置的速率阈值的报文将被交换机丢弃。
上图展示了如何在全局范围内启用风暴控制。当你全局启用风暴控制时,配置的阈值会在所有管理交换机的每个端口上独立执行。例如,500的阈值意味着当该端口的速率超过每秒500帧时,交换机会丢弃该端口上受监控的洪水流量。
上图还展示了如何覆盖特定端口上的全局设置。管理交换机上的端口被分配了默认的风暴控制策略。该策略被配置为在端口上应用全局设置。如果你想覆盖设置,你可以创建另一个风暴控制配置文件,并将其分配给上图所示的端口。
DHCP侦听通过检查DHCP流量并确保以下情况,保护网络中的DHCP服务免受流氓DHCP服务器和信息泄露的影响:
1. DHCP应答(OFFER和ACK数据包)仅在受信任的端口上接受。
2. DHCP请求(discover和REQUEST)报文只转发到可信端口。这需要将FortiSwitchOS CLI dhcp-snoop-client- req设置为drop-untrusted。缺省情况下,DHCP-snoop-client-req配置为forward-untrust,表示将DHCP请求转发到不受信任的端口。
在VLAN上开启DHCP snooping功能,然后将端口配置为受信任端口或不受信任端口。
上图的示例显示了一个连接了三个端点的交换机。连接受信任的DHCP服务器的端口被配置为受信任,连接流氓DHCP服务器的端口被配置为不受信任。结果是,FortiSwitch只接受来自受信任的DHCP服务器的DHCP回复。流氓DHCP服务器发送的DHCP回复被FortiSwitch删除。此外,如果dhcp-snoop-client-req设置为drop-untrusted,FortiSwitch仅将DHCP客户端发送的请求转发到受信任的DHCP服务器。在上图显示的示例中,这将导致流氓DHCP服务器无法接收来自DHCP客户端的DHCP请求数据包。
选项82,也称为DHCP中继代理信息,可用于保护网络免受对DHCP请求的欺骗攻击。启用后,FortiSwitch将选项82添加到客户端提出的DHCP请求中。默认情况下,选项82包含以下特定于客户端的连接信息:
● 电路ID:包含客户端端口ID、客户端VLAN ID和DHCP模式。当启用DHCP侦听时,DHCP模式是dhcp-s,当启用DHCP中继时,DHCP模式是dhcp-r。
● 远程ID:包含FortiSwitch MAC地址。这通常是内部接口的MAC地址。
FortiSwitch将选项82添加到客户端DHCP请求后,它仅将数据包转发到受信任的端口。当FortiSwitch收到服务器的回复时,FortiSwitch会检查选项82以识别原始请求,从数据包中删除选项82,然后将数据包转发到连接客户端的端口。防止了对DHCP请求的欺骗攻击,因为服务器可以将选项82中的信息与原始DHCP请求上的信息进行比较,然后决定请求是否有效。使用选项82还可以保护服务器免受DHCP耗尽攻击,因为服务器避免将IP地址分配给欺骗请求。
上图的图像显示了数据包捕获,在DHCP REQUEST数据包中显示电路ID和远程ID子选项,以及Wireshark从ASCIl转换后以文本格式显示其内容。信息表明客户端已连接到端口1,分配给VLAN 10,并且DHCP侦听已启用。此外,插入选项82信息的FortiSwitch的MAC地址是70:4C:A5:E0:2A:31。
启用DHCP侦听时,带有选项82的DHCP请求将被丢弃在不受信任的端口上。由于连接下游交换机的端口可能被配置为不受信任的——因为这些端口后面没有DHCP服务器——你必须确保上游交换机在ISL端口上接受由下游交换机插入的选项82的DHCP请求。
上图的拓扑结构说明了所描述的示例。有两个交换机相互连接。两个交换机都启用了DHCP侦听,但只有FortiSwitch 2启用了选项82。此外,FortiSwitch 1连接到受信任的DHCP服务器,FortiSwitch 2连接到DHCP客户端。由于FortiSwitch 1上连接到FortiSwitch 2的端口被配置为不可信,因此你必须确保端口信任由FortiSwitch 2转发的选项82的传入DHCP消息。否则,FortiSwitch 1在选项82验证期间会丢弃数据包,因为它无法识别其中的信息。
在上图显示的示例中,端口被配置为使用选项82信任传入的DHCP数据包。因此,FortiSwitch 1转发的DHCP请求被端口接受并转发到受信任的DHCP服务器。
验证MAC设置(switch-controller-dhcp-snooping-verify-mac)指示FortiSwitch验证以太网头中的源MAC地址和DHCP头中的客户端硬件地址是否与在不受信任端口上接收的DHCP数据包中匹配。当FortiSwitch验证DHCP数据包上的MAC地址时,它可以防止DHCP服务器和交换机DHCP侦听客户端数据库上的耗尽。当DHCP侦听客户端数据库达到其限制时,FortiSwitch不会向数据库添加更多客户端,因此会从受影响的客户端中删除DHCP请求。FortiSwitch还生成日志,以通知用户DHCP客户端数据库已满。来自数据库中具有现有条目的其他客户端的DHCP流量不受影响。
此外,只有当端口配置为不可信时,dhcp-snoop-option82-trust才能在端口上启用。目标是在不受信任的端口上只允许带有选项82的DHCP数据包,同时在没有选项82的情况下删除DHCP回复。如果你将端口配置为受信任端口,则无论数据包是否包含选项82,都会接受所有DHCP响应。你可能需要在连接受信任的DHCP服务器和其他不受信任设备的端口上启用dhcp-snoop-option82-trust。在这种情况下,最好在FortiSwitch上启用选项82,然后让交换机限制DHCP对包含选项82的响应。这使你能够接受来自受信任的DHCP服务器的合法回复,同时删除共享段中其他设备发出的潜在欺骗回复。
在FortiGate CLI上,你可以使用上图显示的命令来获取使用DHCP侦听的管理交换机检测到的DHCP客户端列表。对于每个客户端,都包含DHCP相关信息,如MAC地址、VLAN、客户端和服务器IP。请注意,FortiSwitch会跟踪每个条目的DHCP租赁时间。如果客户端在租约到期前没有续约,FortiSwitch会从列表中删除该条目。
另请注意,FortiSwitch仅记录连接到不受信任端口的DHCP客户端。这可以防止相邻交换机的客户端数据库中的必要条目,这些交换机也执行DHCP侦听。
输出还包括DHCP侦听的全局配置。在上图显示的示例中,DHCP Broacast Mode设置为ALL(forward-untrusted)。
DAl通过检查不受信任端口上的ARP数据包在DHCP侦听客户端数据库或IP源保护(IPSG)数据库中是否有有效的IP-MAC地址绑定条目来防止ARP欺骗。在检查数据库中的有效条目时,DAI会考虑所涉及的MAC地址、IP地址、接口和VLAN。DAl依靠DHCP侦听来验证来自DHCP客户端的ARP数据包,并依赖IPSG来验证静态IP客户端。在本课中,你将了解有关IPSG的更多信息。
你在VLAN上启用DAI,然后将端口配置为DAI的受信任或不受信任。DAI对已配置为DAl不受信任的端口执行ARP检查,并对在DHCP侦听或DAI中配置为受信任的端口进行检查。DAl隐式信任在DHCP侦听中配置为受信任的端口。
上图的拓扑显示了连接到FortiSwitch的三个端点。所有端点都放置在VLAN10中。FortiGate充当DHCP服务器,并连接到中继,中继被配置为DHCP侦听的受信任。两台PC连接到为DAl配置为不可信的端口。IPSG数据库中没有配置任何条目。PC2被破坏,并试图通过发送伪造的ARP回复来欺骗FortiGate,该回复将FortiGate IP地址标为绑定到其本地MAC地址。然而,由于在VLAN上启用了DAl,并且PC2发送的ARP回复在DHCP侦听客户端数据库或IPSG数据库中没有匹配的IP-MAC地址绑定,因此数据包没有通过ARP检查,并被FortiSwitch丢弃。
只有当你之前在该VLAN上启用了DHCP侦听时,你才能在VLAN上启用DAl。此外,默认情况下,所有端口在DAl中都设置为不可信。然而,请注意,当端口在DHCP侦听中受信任时,该端口在DAl中隐式受信任,这就是为什么只有当dhcp-snooping设置为untrusted时,arp-inspection-trust才可用。
请注意,输出中显示的接收计数器仅在不受信任的端口接收ARP数据包时才增加。FortiSwitch不对信任端口上收到的ARP报文进行检测,因此这些报文不包含在DAl统计中。
IPSG通过验证IPSG数据库中是否存在与数据包的源IP和源MAC地址匹配的IP-MAC绑定来防止对IPv4流量进行欺骗。
你在端口上启用IPSG。然后,FortiSwitch允许端口上的DHCP流量,以便端点可以通过DHCP获取IP地址。当端点生成DHCP流量以外的IPv4流量时,FortiSwitch会将数据包的源IP和源MAC地址与IPSG数据库中的条目进行比较。如果有匹配,则允许数据包;否则,数据包被丢弃。
IPSG数据库由动态和静态条目组成。动态条目从DHCP侦听客户端数据库导入。静态条目由管理员手动配置。
上图的拓扑显示了一台DHCP服务器和两台PC。PC从DHCP服务器获取其IP配置。所有交换机端口都启用了IPSG。由于DHCP侦听也已启用,IPSG数据库从DHCP侦听客户端数据库导入动态条目的信息。DHCP服务器使用静态IP地址,因此管理员在IPSG DB中为设备配置了一个条目。结果是,FortiSwitch允许PC1和DHCP服务器发送IPv4数据包,因为数据包中的源MAC和源IP地址在IPSG数据库中具有匹配的IP-MAC绑定条目。然而,FortiSwitch阻止了PC2发送的欺骗IPv4数据包,因为IPSG数据库中没有匹配的条目。
IPSG不需要DHCP侦听,但建议使用。否则,你必须为每个连接的端点手动配置IPSG数据库中的条目。当你启用DHCP侦听时,DHCP客户端的条目(动态条目)会自动从DHCP侦听客户端数据库导入,这大大减少了管理开销。
默认情况下,IPSG在丢弃数据包时不会生成任何日志。如果你想记录IPSG违规行为,你必须在上图所示的FortiSwitch CLI上启用相应的设置。启用IPSG违规记录后,你还可以为这些事件设置计时器。默认情况下,计时器设置为0,这意味着违规事件不会过期。
请注意,并非DHCP侦听客户端数据库中的所有条目都会被导入。仅导入连接到启用IPSG的端口的端点条目。
除了日志外,FortiSwitch还保留了IPSG违规列表。你只能通过运行上图显示的命令在FortiSwitch CLI上查看此列表。如果你将违规日志计时器设置为零以外的值,则在到达计时器后,此列表中的条目将被删除。每个事件显示的时间戳对应于第一次记录违规的时间。该列表显示每个设备的单个事件,即使FortiSwitch已阻止来自该设备的多个数据包。
请注意,该列表总共最多支持128个条目,每个端口最多支持5个条目。
接入VLAN可用于在FortiGate进行身份验证或识别之前将设备放置在临时或板载VLAN中,之后FortiGate将设备移动到相应的生产VLAN。接入VLAN的另一个用例是当你想删除VLAN内部流量时,因为设备不需要客户端到客户端通信。这可以防止受损主机传播恶意软件,减少网络中的流量,或防止攻击者收集可用于攻击同一VLAN中易受攻击主机的网络信息。
在上图所示的网络图中,FortiSwitch的port1和port2被放置在VLAN 10中,这是FortiSwitch在FortiGate上启用了接入VLAN的一个VLAN。这样,当客户端a发送到FortiGate的VLAN 10接口以外的设备的流量时,该流量将被FortiSwitch丢弃。
上图根据幻灯片上显示的网络图,展示了FortiGate上所需的代理ARP配置示例。当客户端A发送ARP请求以解决客户端B的MAC地址时,FortiGate代表客户端B响应ARP请求。因此,当客户端A与客户端B通信时,从客户端A到客户端B的数据包通过FortiGate发送,这是FortiSwitch允许的流量。当流量到达FortiGate时,流量将转发给客户端B,因为FortiGate有一个允许VLAN内部流量的防火墙策略。
配置防火墙策略时,你必须选择与传入接口和传出接口相同的VLAN接口。如果需要,你还可以启用安全配置文件来执行检查。
802.1X涉及到以下三方:
● 客户端,也称为请求者,是想要加入网络的设备。它的网络堆栈必须支持802.1X。
● 身份验证器是一种网络设备,例如无线接入点或交换机,在身份验证过程中充当代理。身份验证器根据从身份验证服务器收到的响应允许或拒绝对请求者的网络访问。
● 身份验证服务器是支持RADIUS和EAP的主机,例如FortiAuthenticator,并验证客户端凭据。客户端凭据可以是用户名和密码,也可以是数字证书。身份验证服务器还根据配置的身份验证策略向请求者授予网络访问级别。
在验证和授权客户端凭据之前,客户端不允许访问网络。使用802.1X身份验证,客户端向身份验证器提供其凭据,然后身份验证器将信息传递给身份验证服务器进行验证。如果身份验证服务器确定凭据有效,则客户端设备将被授予对网络的访问权限。
请注意,身份验证器不需要存储客户端凭据或了解身份验证方法(例如,PEAP或EAP-TLS)。身份验证消息通过RADIUS协议从客户端隧道传输到身份验证服务器。
如果设备不支持802.1X,你可以配置安全配置文件,将该设备放置在选择为来宾VLAN的VLAN中。或者,你可以启用MAC身份验证旁路以允许访问非-802.1X设备,前提是设备MAC地址在身份验证服务器上获得授权。你还可以将尝试通过802.1X进行身份验证但失败的设备放在选择为身份验证失败VLAN的VLAN中。
启用EAP直通时,EAP消息将转发到身份验证服务器。但是,如果身份验证服务器(RADIUS服务器)不支持EAP,或者你希望FortiSwitch针对其本地用户数据库对用户进行身份验证,则应禁用EAP直通。作为802.1X身份验证服务器,FortiSwitch支持EAP-PEAP、EAP-TTLS、EAP-TLS和EAP-MD5。最后,如果你启用覆盖RADIUS超时,交换机将使用从RADIUS服务器收到的会话超时属性值覆盖本地重新身份验证计时器。
如果你将身份验证服务器配置为针对包含网络中所有现有域用户的后端服务器(如Windows AD)对802.1X用户进行身份验证,则部署将变得更加可扩展。然后,您可以在身份验证服务器中配置规则,将域用户组映射到VLAN。结果是,FortiSwitch可以根据802.1X用户所属的域用户组自动为端点分配VLAN。这意味着你只需更改后端服务器上的用户组成员资格,即可控制端点上的VLAN分配。
为了使FortiSwitch在802.1X身份验证期间学习VLAN信息,它必须从身份验证服务器接收上图显示的RFC 3589中定义的三个RADIUS属性。请注意,你可以将VLAN ID或FortiSwitch VLAN名称指示为 Tunnel-Private-Group-ID。如果你想指示VLAN名称,请确保其写入与FortiGate上配置的完全一致。
上图的示例显示,FortiSwitch将客户端分配给VLAN 10,因为FortiAuthenticator配置为在身份验证时将RADIUS属性Tunnel-Private-Group-ID-10返回给FortiSwitch。FortiAuthenticator返回该属性,因为它通过使用LDAP从Windows AD后端服务器查询用户组成员信息,确定802.1X用户(学生)是IT域用户组的成员。
上图的示例显示了FortiOS上802.1X状态命令的输出,以及所涉及的交换机端口和FortiSwitch VLAN配置。从输出中删除了一些不相关的线条,以便它可以放在这上图中。输出显示,Dynamic Authorized Vlan上的VLAN ID(10)与分配给端口的FortiSwitch VLAN(onboarding)上配置的VLAN ID(4089)不同。这意味着FortiSwitch覆盖端口上的本机VLAN配置,在802.1X成功身份验证后通过RADIUS从身份验证服务器学习VLAN ID。
你还可以使用其他功能配置动态VLAN,例如FortiOS集成NAC、FortiSwitch ACL或FortiSwitch MAC-VLAN绑定。然而,当涉及到动态VLAN分配时,这些选项都没有使用802.1X身份验证那样可扩展。你将在另一节课中了解有关这些附加功能的更多信息。
默认情况下,FortiSwitch可以在端口上学习的动态MAC地址数量没有限制。但是,出于安全原因,你可以限制VLAN或端口上的动态条目数量。当端口关闭、交换机重新启动或其老化计时器过期时(默认为300秒)时,动态条目将从MAC地址表中删除。如果您希望FortiSwitch始终在特定端口上列出MAC地址,你可以在FortiSwitch上为该MAC地址和端口配置静态条目。
你可以在FortiSwitch上配置另一种类型的MAC地址:粘性MAC地址。粘性MAC地址是动态条目,在MAC地址表中转换为持久性条目。然而,与在端口状态更改或切换重新启动期间保存在MAC地址表中的静态条目不同,粘性MAC地址仅在端口停机时才会保留。如果FortiSwitch重新启动,粘性MAC地址将从MAC地址表中删除。
请注意,静态和粘性MAC地址条目都在FortiSwitch CLI上的MAC地址表中显示为静态。但是,如果端口启用了粘性mac设置,你可以判断MAC地址是否粘性。
默认情况下,当端口或VLAN上看到的动态条目数量超过配置限制时,FortiSwitch不会记录事件。你可以通过运行上图上显示的命令来启用MAC限制违规的日志记录。
除了日志外,FortiSwitch还保留了MAC限制违规的列表。你可以通过运行上图显示的命令在FortiGate CLI上查看此列表。每个事件显示的时间戳对应于第一次记录违规的时间。该列表显示每个MAC地址的单个事件,即使FortiSwitch阻止了该MAC地址的多个数据包。
请注意,该列表总共支持多达128个条目。一旦达到最大条目数量,将不会记录其他事件。但是,你可以重置事件。
你可以通过运行上图显示的命令来启用MAC事件的日志记录。发现的MAC地址由FortiGate在60秒内记录——默认数据同步间隔——添加到FortiSwitch MAC地址表后。然而,默认情况下,已删除的MAC地址在MAC缓存中保存24小时,即使它们不再出现在FortiSwitch的MAC地址表中。如果你希望FortiGate在从网络中消失后60秒内为已删除的MAC记录消息,您可以将MAC保留期设置为0。
默认的60秒数据同步间隔适用于大多数部署。你仍然可以通过运行上图显示的命令来调整计时器。
由于之前的行为,你可以将FortiSwitch配置为接受连接到端口的第一个设备(第一个MAC地址)的流量,并从端口上看到的其他MAC地址丢弃流量。在许多情况下,连接到端口的第一个设备是分配给用户的受信任设备。因此,你可能希望确保FortiSwitch仅在来自该设备时才接受端口上的流量。你可以通过将端口上学习的动态条目数量限制为1个,然后在端口上启用粘性MAC来实现这一点。当您你端口上启用粘性MAC时,FortiSwitch会在端口状态更改期间使在端口上学习的动态MAC地址在MAC地址表中持久化。结果是,FortiSwitch在端口上允许的唯一流量是来自最初连接到端口的MAC地址的流量。
2461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
