交换网络的扩展知识：端口镜像、DHCP snooping、防ARP攻击、端口安全、开启SSH安全登录、端口隔离的配置

1、端口镜像：SPAN

端口镜像（port Mirroring）功能通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能，可以很好地对企业内部的网络数据进行监控管理，在网络出故障的时候，可以快速地定位故障。

端口镜像的配置：

[r1]observe-port interface GigabitEthernet 0/0/2   监控接口

[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]mirror to observe-port inbound

G0/0/0与G0/0/1接口间的所有流量，都镜像到G0/0/2一份；可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析；

在华为设备中通过镜像端口来配置路由策略管理端口

C1对应源流量，b1对应监控接口，p1是将c1和b1组成一个策略，最终接口上调用p1策略；

2、DHCP 动态主机配置协议 统一分发管理IP地址

DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

DHCP的基本工作过程如下所示

DHCP的工作过程

DHCP基于传输层 67 68 端口号

（1）主机发送DHCP的Discover请求包：三层（源IP0.0.0.0 目标IP255.255.255.255；源MAC=PC，目标MAC全F） 通过广播发给服务器；第四层DHCP基于67 68 传输层；五层 应用层有一张调查问卷问题表空着的表 发给服务器 广播
（2）服务器发送offer包给PC；服务器将发送来的空表填上；（源IP 服务器自己，目标IP 255.255.255.255；源MAC 服务器，目标MAC 全F）单播
（3）主机向服务器发送Request请求包，表示接受该offer； 广播
（4）服务器向主机发送ack确认包；单播

服务器发送offer包会向主机发送一个ARP包，表示该地址有无使用，如果没有相应，表示该地址可以offer可以发送

DHCP地址续约

DHCP的续约：
（1）DHCP 客户端发送 DHCP
（2）dhcp后会发生ARP包，做地址冲突检测用，看IP是否可用
（3）dhcp中PC机发送3次无回应后，自动分配一个169的地址；
在一个网段内是基于MAC通讯

DHCP的获取到IP后会有租约情况，当DHCP租约到期后会有

DHCP中继

DHCPRelay（DHCPR）DHCP中继（也叫做DHCP中继代理）其可以实现在不同子网和物理网段之间处理和转发dhcp信息的功能。
如果DHCP客户机与DHCP服务器在同一个物理网段，则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段，则需要DHCP Relay Agent(中继代理)。
华为设备中的DHCP中继配置

3、DHCP攻击

原理：
DHCP攻击针对的目标是网络中的DHCP服务器，原理是耗尽DHCP服务器所有的IP地址资源，使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户端分发IP地址，从而来实现中间人攻击。

DHCP没有认证机制，并不知道接收到的报文是否是同一个主机发送的，所以攻击者可以使用以下两种方式进行攻击。
（1）攻击者发送大量的DHCP Discover报文，堵塞DHCP服务器处理速度，以至于瘫痪DHCP服务器。
（2）制造大量的伪造MAC地址来请求地址，导致DHCP服务器中的IP地址耗尽。

（1）DHCP snooping --防止dhcp攻击

防止DHCP的仿冒： （在交换机上进行的配置）

DHCP snooping的配置

[r1]dhcp enable  //交换机开启dhcp服务
[r1]dhcp snooping enable    //全局下先开启DHCP snooping 功能
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]dhcp snooping enable   //所有接入层接口配置

配置后，所有接口处于非信任状态，所有非信任接口只能进行DHCP的请求，无法实现应答；

之后需要在真正连接DHCP 服务器的接口上配置信任，否则该dhcp服务器也不能正常工作；

[r1-GigabitEthernet0/0/10]dhcp snooping trusted   //在信任的接口信任

（2）ARP欺骗

（ARP spoofing）
，又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。

在华为设备中开启dhcp功能和DHCP snooping后，交换机中将产生一个记录列表；记录所有接口ip地址的获取情况；
例：SW1的g0/0/1连接PC1，在SW1开启了DHCP snooping功能后，一旦PC1获取ip地址成功；那么在SW1上将出现一张记录列表----PC1的mac，获取的ip地址，vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击：
因此可以在交换机上开启ARP欺骗防御

ARP欺骗的配置

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的pc进行ARP应答时，若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发；

还可以开启源地址保护

（3）源地址保护

源地址保护的配置

[r1-GigabitEthernet0/0/10]ip source check user-bind enable
—该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发；

4、端口安全

端口安全—解决更换MAC来不停请求ip地址，导致DHCP池塘枯竭；还可以防止MAC地址攻击；

交换机存在的mac地址表，存在条目数量限制，存在老化时间（默认5min）
PC等终端设备默认存储ARP表格为2h；但若交换机的缓存被溢出或超时，再来转发终端的单播流量时，出现未知单播帧问题—处理方案洪泛
因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击
依赖端口安全进行保护：

端口安全的配置

[sw1-Ethernet0/0/4]port-security  enable  开启端口安全（开启端口安全默认允许一个MAC）
[sw1-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量
[sw1-Ethernet0/0/4]port-security protect-action ?
  protect   Discard packets           丢弃 – 不告警
  restrict  Discard packets and warning  丢弃—告警  （默认）
   shutdown  Shutdown   丢弃--关闭接口 –必须管理员手工开启
[sw1-Ethernet0/0/4]port-security aging-time 300  老化时间

以上动作完成后，对应接口将自动记录第一个通过该接口数据帧中的源mac地址；
其他mac将不能通过；若300s内，该记录mac没有再经过过该接口，将刷新记录；
设备重启或接口关闭再开启也将刷新记录；

[sw1-Ethernet0/0/4]port-security mac-address sticky   --粘粘MAC（不老化）

自动记录通过该接口传递的mac地址，但记录后将永不删除
也可手工填写

[sw1-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1

5、SSH —安全的Telnet行为

Telnet远程登录—基于tcp的23号端口工作；数据被明文传输；
SSH也是远程登录—基于TCP的22号端口工作，数据包安全保障传输；基于RSA进行加密
存在版本V1/V2两种-实际版本号大于1小于2均为V2；目前SSH使用V2版本；

开启STelnet的配置

开启SSH的功能

[R2]stelnet server enable  开始ssh  
[R2]rsa local-key-pair create       秘钥生成 
[R2]ssh user huawei authentication-type password 123456 定义ssh基于秘钥来加解密

配置登录信息

[R2]aaa
[R2-aaa]local-user huawei password cipher huawei   
[R2-aaa]local-user huawei  service-type ssh

[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录

若使用华为的设备作为终端设备，通过ssh方式登录其他的系统，需要开启ssh 客户端功能

[r1]ssh client  first-time enable

登录命令

[r1]stelnet 192.168.1.1

6、端口隔离

端口隔离是为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离的配置

[sw1]interface Eth0/0/5
[sw1-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离