HCIE-以太网交换安全
端口隔离
技术背景
- 如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
端口隔离技术原理
- 采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。
端口隔离配置命令
1、使能端口隔离功能
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]
缺省情况下,未使能端口隔离功能。如果不指定group-id参数时,默认加入的端口隔离组为1。
2、(可选)配置端口隔离模式
[Huawei] port-isolate mode { l2 | all }
缺省情况下,端口隔离模式为L2,L2 端口隔离模式为二层隔离三层互通,all 端口隔离模式为二层三层都隔离。
3、配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离。
4、通过display port-isolate group group-number查看端口隔离组中的端口。
[SW]display port-isolate group 2
The ports in isolate group 2:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
MAC地址表安全
MAC地址表安全功能
MAC地址表配置
1、配置静态MAC表项
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id
指定的VLAN必须已经创建并且已经加入绑定的端口;指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址。
2、配置黑洞MAC表项
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
3、配置动态MAC表项的老化时间
[Huawei] mac-address aging-time aging-time
禁止MAC地址学习功能
1、关闭基于接口的MAC地址学习功能
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]
缺省情况下,接口的MAC地址学习功能是使能的:
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。
当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。
当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。
2、关闭基于VLAN的MAC地址学习功能
[Huawei-vlan2] mac-address learning disable
缺省情况下,VLAN的MAC地址学习功能是使能的。
当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置。
限制MAC地址学习数量
1、配置基于接口限制MAC地址学习数
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num
缺省情况下,不限制MAC地址学习数。
2、配置当MAC地址数达到限制后,对报文应采取的动作
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }
缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
3、配置当MAC地址数达到限制后是否进行告警
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }
缺省情况下,对超过MAC地址学习数限制的报文进行告警。
4、配置基于VLAN限制MAC地址学习数
[Huawei-vlan2] mac-limit maximum max-num
缺省情况下,不限制MAC地址学习数。
- 执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
端口安全
端口安全技术原理
- 默认情况下,接口关闭(error-down)后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。
- 如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。
端口安全配置命令
- 执行命令display mac-address security,查看动态安全MAC表项。
- 执行命令display mac-address sticky,查看Sticky MAC表项。
MAC地址漂移概述
- MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
- 当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。
- 正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
防止MAC地址漂移
- 如果是环路引发MAC地址漂移,治本的方法是部署防环技术,例如STP,消除二层环路。如果由于网络攻击等其他原因引起,则可使用如下MAC地址防漂移特性:
- 缺省时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。
基于VLAN的MAC地址漂移检测
全局MAC地址漂移检测
MAC地址漂移配置命令
MAC地址漂移配置举例
- 当Switch3与Switch4之间误连接之后,Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,触发接口error-down,接口GE0/0/2关闭。
- 使用display mac-address flapping record可查看到漂移记录。
DHCP Snooping
概述
- 为了保证网络通信业务的安全性,引入了DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。
- DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP 服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
- 目前DHCP协议在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
- DHCP Snooping主要是通过DHCP Snooping信任功能和DHCP Snooping绑定表实现DHCP网络安全。
DHCP工作原理
DHCP Snooping信任功能
- 配置dhcp snooping enable命令的接口,收到DHCP请求报文后,转发给所有的信任接口;收到DHCP响应报文后丢弃。
- 配置dhcp snooping trusted命令的接口,收到DHCP请求报文后,转发给所有的信任接口,如果没有其他信任接口,则丢弃该DHCP请求报文;收到DHCP响应报文后,只转发给连接对应客户端的并且配置命令dhcp snooping enable的接口,如果查不到上述接口,则丢弃该DHCP响应报文。
DHCP Snooping绑定表
- DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
DHCP饿死攻击
- 攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
- 漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
DHCP Snooping防饿死攻击
解决方法:对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请求。
DHCP Snooping配置命令介绍
扫一扫
1291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
