端口隔离
1. 背景
大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源。
2. 概述
作用:可以实现同一VLAN内端口之间的隔离。
优势:端口隔离功能为用户提供了更安全、更灵活的组网方案。
3. 原理
隔离类型:双向隔离、单项隔离
隔离模式:L2(二层隔离三层互通)、ALL(二三层都隔离)
4. 配置命令及案例(SW_S_Base)
(1)配置端口隔离模式
[S1]port-isolate mode ?
all All
l2 L2 only
(2)使能端口隔离功能
[S1-GigabitEthernet0/0/1]port-isolate enable group ?
INTEGER<1-64> Port isolate group-id
(3)配置端口单向隔离(am isolate命令用来配置当前接口与指定接口的单向隔离)
[S1-GigabitEthernet0/0/1]am isolate GigabitEthernet 0/0/2
(4)查看端口隔离组中的端口
[S1]display port-isolate group 2
MAC地址表安全
1. MAC地址表项类型
动态:学习获得,可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
静态:手工配置,表项不老化,不会丢失。其他接口收到源MAC为该MAC地址的报文将会被丢弃。
黑洞:手工配置,表项不可老化。其他接口收到包含该MAC的报文将会被丢弃。
2. 安全功能
动态:合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长。
静态:将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
黑洞:防止黑客通过MAC地址攻击网络,交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。
禁止MAC地址学习功能
限制MAC地址学习数量
3. 配置命令
(1)配置静态MAC表项
[S1]mac-address static ?
H-H-H MAC address
[S1]mac-address static 5489-985c-62c8 GigabitEthernet 0/0/1 vlan 2
(2)配置黑洞MAC表项
[S1]mac-address blackhole ?
H-H-H MAC address
[S1]mac-address blackhole 5489-98ea-4534 ?
vlan Virtual LAN
<cr>
(3)配置动态MAC表项的老化时间
[S1]mac-address aging-time ?
<0,10-1000000> Aging-time seconds, 0 means that MAC aging function does not work
(4)关闭MAC地址学习
[S1-GigabitEthernet0/0/1]mac-address learning ?
disable Disable
[S1-GigabitEthernet0/0/1]mac-address learning disable ?
action Action if beyond the limit
<cr>
[S1-vlan2]mac-address learning ?
disable Disable
(5)限制MAC地址学习数
[S1-GigabitEthernet0/0/1]mac-limit maximum ?
INTEGER<0-4096> Maximum MAC address can learn, 0 means unlimited
[S1-vlan2]mac-limit maximum ?
INTEGER<0-4096> Maximum MAC address can learn, 0 means unlimited
(6)达到限制后,对报文采取的动作
[S1-vlan2]mac-limit alarm ?
disable No alarm is raised when the number of MAC address entries reaches
the limit
enable An alarm is raised when the number of MAC address entries reaches
the limit
(7)查看配置是否成功
[S1]display mac-limit ?
GigabitEthernet GigabitEthernet interface
vlan Virtual LAN
vsi Virtual switch instance
| Matching output
<cr>
端口安全
1. 背景
为解决员工在某接口下级联一台小交换机或者私自更换位置改变交换机的接入端口的问题,
需要【端口安全】特性来解决。
2. 概述
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址,
阻止非法用户通过本接口和交换机通信,从而增加设备的安全性。
3. 原理
(1)安全MAC地址分类:
安全动态MAC:使能端口安全而未使能Sticky MAC功能时转换的MAC地址;设备重启后表项会丢失,需要重新学习,缺省不会被老化,只有在配置安全MAC的老化时间后才会被老化。
安全静态MAC:使能端口安全手工配置的MAC地址;设备重启后表项不会丢失,不会被老化。
Sticky MAC地址:使能端口安全又同时使能Sticky MAC功能后转换到的MAC地址;设备重启后表项不会丢失,不会被老化。
(2)安全保护动作:
Restrict:丢弃源MAC地址不存在的报文并上报告警。
Protect:只丢弃源MAC地址不存在的报文,不上报告警。
Shutdown:接口状态被置为error-down,并上报告警。
4. 应用:
在汇聚设备上配置端口安全功能,同时指定安全MAC地址的限制数量,可以保证汇聚设备的安全性。
5. 配置命令:
[S1-GigabitEthernet0/0/1]port-security ?
aging-time //配置接口学习到的动态MAC地址的老化时间
enable //使能端口安全功能
mac-address //手工配置安全静态MAC地址表项
max-mac-num //配置端口安全MAC学习限制数量,缺省为1
protect-action //配置端口安全保护动作
[S1-GigabitEthernet0/0/1]port-security enable //执行此命令后,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
[S1-GigabitEthernet0/0/1]undo port-security enable //执行此命令后,接口上安全动态MAC地址表项将被删除,重新学习动态MAC地址。
[S1-GigabitEthernet0/0/1]port-security aging-time ?
INTEGER<1-1440> Aging time (in minute)
[S1-GigabitEthernet0/0/1]port-security aging-time 5 type ?
absolute //绝对老化时间,系统每隔1分钟计算一次每个MAC的存在时间,若大于等于设定值,则立即将该安全动态MAC地址老化;
inactivity //相对老化时间,系统每隔1分钟检测一次是否有该MAC的流量,若没有流量,则经过设定值后将该安全动态MAC地址老化;
[S1-GigabitEthernet0/0/1]port-security max-mac-num ?
INTEGER<1-4096> //缺省为1
[S1-GigabitEthernet0/0/1]port-security protect-action ?
protect //只丢弃源MAC地址不存在的报文,不上报告警
restrict //丢弃源MAC地址不存在的报文并上报告警,缺省
shutdown //接口状态被置为error-down,并上报告警,缺省情况下,接口关闭后不会自动恢复
希望自动恢复,则在接口被error-down前在【系统视图】下执行如下命令,eNSP上无法执行此命令
error-down auto-recovery cause port-security interval 5
MAC地址漂移防止与检测
1. 概述
当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象;
当网络中出现大量MAC地址漂移的情况,一般都意味着网络中存在环路或者存在网络攻击行为;
2. 防止MAC地址漂移
环路引发MAC地址漂移,治本的方法是部署防环技术,消除二层环路。
网络攻击引起的MAC地址漂移,可以:
1)配置接口MAC地址学习优先级:高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项
[S2-GigabitEthernet0/0/1]mac-learning priority ?
INTEGER<0-3> Mac learning priority //缺省接口MAC地址学习优先级均为0,数值越大越优先
2)配置不允许相同优先级接口MAC地址漂移
[S2-GigabitEthernet0/0/1]undo mac-learning priority 0 allow-flapping //eNSP上不支持该命令
3. MAC地址漂移检测,两种方式:
(1)基于VLAN的MAC地址漂移检测
可以检测指定VLAN下的所有的MAC地址是否发生漂移,当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。
发送告警,当检测到MAC地址发生漂移时只给网管发送告警。
接口阻断,当检测到MAC地址发生漂移时,根据设置的阻塞时间对接口进行阻塞,并关闭接口收发报文的能力。
MAC地址阻断,当检测到MAC地址发生漂移时,只阻塞当前MAC地址,而不对物理接口进行阻塞,当前接口下的其他MAC的通信不受影响。
(2)全局MAC地址漂移检测
可以检测设备上的所有的MAC地址是否发生了漂移,若发生漂移,设备会上报告警到网管系统,也可以指定发生漂移后的处理动作,
例如将接口关闭或退出VLAN。
error-down:当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将对应接口状态置为error-down,不再转发数据。
quit-vlan:当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将退出当前接口所属的VLAN。
MACsec
1. 背景:
绝大部分数据在局域网链路中都是以明文形式传输的,
在某些安全性要求较高的场景下存在安全隐患。
2. 概述:
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为802.1AE。
数据帧完整性检查、用户数据加密、数据源真实性校验、重放保护
3. 典型应用场景
在交换机之间部署MACsec保护数据安全
当交换机之间存在传输设备时可部署MACsec保护数据安全
4. 工作机制
在设备运行点到点MACsec时,网络管理员在两台设备上通过命令行预配置相同的CAK,
两台设备会通过MKA协议选举出一个Key Server,Key Server决定加密方案,Key Server会根据CAK等参数使用某种加密算法生成SAK数据密钥,
由Key Server将SAK分发给对端设备,这样两台设备拥有相同的SAK数据密钥,
可以进行后续MACsec数据报文加解密收发。
交换机流量控制
1. 流量抑制
(1)概述
网络中存在的问题:
正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能。
当设备某个以太接口收到已知组播或已知单播报文时,如果某种报文流量过大则可能会对设备造成冲击,影响其他业务的正常处理。
可用的解决方案:
流量抑制可以通过配置阈值来限制上述报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
(2)工作原理
1)在接口入方向上,
设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。
设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
2) 在接口出方向上
设备支持对广播、未知组播和未知单播报文的阻塞(Block)。
3) 在VLAN视图下
设备支持对广播报文按比特速率进行流量抑制。
设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,
当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
流量抑制还可以通过配置阈值的方式对ICMP报文进行限速,防止大量ICMP报文上送CPU处理,导致其他业务功能异常。
(3)应用
流量抑制通过对不同类型的报文采取不同的限制措施,达到限制报文发送速率的目的。具体实施可分为以下三种情况:
在交换机接口的入方向,通过流量抑制功能可以限制任意报文的发送速率。
在交换机接口出方向,通过流量抑制功能可以阻塞广播,未知组播和未知单播报文。
在交换机的VLAN视图下,通过配置VLAN 内流量抑制限制VLAN内广播报文。
(4)配置命令
配置流量抑制模式【eNSP不支持该命令】
[S1]suppression mode by-packets/ by-bits //缺省的抑制模式为packets,在bits模式下,流量抑制的粒度更小、抑制更精确。
配置接口流量抑制
[S1-GigabitEthernet0/0/1] unicast-suppression 80 //抑制单播报文80%
[S1-GigabitEthernet0/0/1] multicast-suppression 70 //抑制组播报文70%
[S1-GigabitEthernet0/0/1] broadcast-suppression 60 //抑制广播报文60%
配置在接口出方向阻塞报文
[S1-GigabitEthernet0/0/1]unicast-suppression block outbound
[S1-GigabitEthernet0/0/1]multicast-suppression block outbound
[S1-GigabitEthernet0/0/1]broadcast-suppression block outbound
配置VLAN的广播抑制速率
[S1-vlan2]broadcast-suppression ?
INTEGER<64-10000000> The value of broadcast suppression, unit: Kbps
查看流量抑制配置信息
[S1]display flow-suppression interface g0/0/1
2. 风暴控制
(1)概述
问题:广播风暴
解决方案:配置风暴控制来阻塞报文或关闭端口来阻断广播、未知组播和未知单播报文的流量。
(2)工作原理
在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。
(3)应用
风暴控制与流量抑制相比的优势是可以同时监控接口下的广播报文、未知组播报文和未知单播报文各自的包平均速率,并根据阈值对接口采取阻塞相关报文或者关闭物理接口的惩罚动作。
(4)配置命令(配置自动恢复、白名单命令eNSP不支持)
[S1-GigabitEthernet0/0/1]storm-control ?
action //配置风暴控制的动作
broadcast //配置对广播报文的风暴控制
enable //触发日志或者告警
interval //配置检测时间间隔
multicast //配置对组播报文的风暴控制
unicast //配置对单播报文的风暴控制
[S1-GigabitEthernet0/0/1]storm-control action ?
block //阻塞报文
shutdown //关闭接口
[S1-GigabitEthernet0/0/1]storm-control enable ?
log //记录日志
trap //触发告警
[S1-GigabitEthernet0/0/1]storm-control interval ?
INTEGER<1-180> Interval value (Unit: second)
[S1]display storm-control int g0/0/1 //查看接口的风暴控制信息
扫一扫
815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
