华为HCIE-R&S（数通datacom）论述题（六）

华为HCIE-R&S（数通datacom）论述题（六）

DHCP故障排除及安全防护
问题一：网络中部分终端不能访问网关，终端ARP表频繁变化。网络中部分终端获取不到地址，获取的地址为169.254.X.X。请定位故障原因并解决。
答案解析：
网络中出现部分终端不能访问网关，终端ARP表频繁变化的现象可能是当前网络中存在ARP攻击行为所造成的，ARP攻击有如下两种：

ARP泛洪攻击：攻击者通过伪造大量源IP地址变化的ARP报文，使得网关设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致合法终端无法正常通信。

ARP欺骗攻击：攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成终端ARP表项频繁变化，导致合法用户或网络的报文通信异常。

ARP攻击解决方案如下：
1、配置ARP表项严格学习功能后，避免设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽，造成合法用户的ARP报文不能继续生成ARP条目。配置该功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样可以拒绝大部分的ARP报文攻击。
ARP表项严格学习功能可基于全局或接口配置，以配置全局为例，执行以下命令：
system-view //进入系统视图。
arp learning strict //配置全局ARP表项严格学习功能。

2、配置ARP报文限速后，可避免设备对收到的大量ARP报文全部进行处理，从而可能导致CPU负荷过重而无法处理其他业务。使能ARP报文限速功能后，可以在全局或接口下配置ARP报文的限速值和限速时间。在ARP报文限速时间内，如果收到的ARP报文数目超过ARP报文限速值，设备会丢弃超出限速值的ARP报文。
以配置接口ARP报文限速为例，执行以下命令：
interface interface-type interface-number //进入接口视图
arp anti-attack rate-limit enable //使能ARP报文限速功能
arp anti-attack rate-limit packet-number [ interval-value ] //配置ARP报文的限速阈值

3、配置临时ARP表项的老化时间来控制ARP Miss消息的触发频率。当判断设备受到攻击时，可以调大该时间，减小设备ARP Miss消息的触发频率，从而减小攻击对设备的影响。执行以下命令：
system-view //进入系统视图
interface interface-type interface-number //进入接口视图
arp-fake expire-time expire-time //配置临时ARP表项的老化时间

4、在网关设备上部署ARP表项固化功能，可防御欺骗网关攻击。配置该功能后，网关设备在第一次学习到ARP以后，不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息，或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。
可在全局下配置ARP表项固化功能，执行以下命令：
system-view //进入系统视图。
arp anti-attack entry-check fixed-all enable //配置ARP表项固化功能

5、在网关设备上配置发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。
可在全局或VLANIF接口下配置发送免费ARP报文功能，以全局为例，执行以下命令：
system-view //进入系统视图
arp gratuitous-arp send enable //使能发送免费ARP报文的功能

以上功能均为防护ARP攻击的常见防护手段，在现网中可根据网络环境、设备性能等实际情况选择增配其他防护功能，如：ARP Miss消息限速、基于接口的ARP表项限制、动态ARP检测、DHCP触发ARP学习、ARP防网关冲突、ARP报文合法性检查等。

网络中部分终端获取不到地址，获取的地址为169.254.X.X。可能存在以下故障原因，具体分析如下：

故障可能原因1：DHCP Server未配置IP地址池或配置错误
在DHCP Server上执行以下命令：
system-view //进入系统视图
display ip pool //检查已配置的IP地址池信息是否存在未配置或者配置错误
undo ip pool xxx //如果存在配置错误ip地址池，先执行删除
ip pool xxx //创建全局地址池
gateway-list x.x.x.x //配置DHCP Client的网关地址
network x.x.x.x mask x.x.x.x //配置全局地址池可动态分配的IP地址范围

故障可能原因2：DHCP Server在与客户端侧相连的接口下未开启了DHCP Server功能
在DHCP Server上执行以下命令：
Interface vlanif XX
display this //查看当前接口下配置，确认是否开启DHCP Server功能
dhcp select global //开启接口采用全局地址池的DHCP Server功能

故障可能原因3：IP地址池中无可供分配的地址
在DHCP Server上执行以下命令：
system-view //进入系统视图
display ip pool name XXX //查看指定全局地址池的配置信息，确认是否有可用IP地址
ip pool xxx //进入全局地址池
undo network //删除当前全局地址池可动态分配的IP地址范围
network x.x.x.x mask x.x.x.x //重新配置全局地址池可动态分配的IP地址范围

如果实际的用户终端数目多于地址池中可供分配的地址数目，需要调大地址池中地址范围，通过减小掩码长度来调大地址范围。

故障可能原因4：交换设备针对用户终端所属VLAN透传错误
在接入交换机和汇聚交换机执行以下命令：
system-view //进入系统视图
display port vlan //查看是否正确透传了用户终端所属的VLAN
interface Gx/x/x //进入接口视图
port trunk allow-pass vlan X // X为用户终端所属VLAN

故障可能原因5：接入交换机开启了dhcp snooping功能，信任接口配置错误
在接入交换机上执行以下命令：
system-view //进入系统视图
display dhcp snooping //确认信任接口是否配置错误
interface Gx/x/x //进入配置错误的接口视图
undo dhcp snooping trusted //删除信任接口配置
interface Gx/x/x //进入与DHCP Server互联的接口视图
dhcp snooping trusted //配置当前接口为信任接口

故障可能原因5：网络中存在针对DHCP报文的过滤行为
在DHCP Server上执行以下命令：
system-view //进入系统视图
display acl all //查看是否存在针对源目端口号为67/68的ACL
acl 3xxx //进入ACL视图
undo rule x //删除针对源目端口号为67/68的规则

故障可能原因6：网络中存在DHCP攻击（DHCP Server服务拒绝攻击）
若在网络中存在DHCP用户恶意申请IP地址，将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。查看设备接收到的各类型DHCP报文的统计信息是否存在异常，如果出现大量的被丢弃的DHCP报文，疑似网络中可能存在DHCP攻击行为。
在DHCP Server设备上执行以下命令：
display dhcp statistics //确定DHCP报文统计信息是否存在异常
然后在接入设备上执行以下命令：
dhcp snooping enable //全局开启dhcp snooping功能
interface GigabitEthernet x/x/x //进入接口视图（用户侧接口）
dhcp snooping enable //接口开启dhcp snooping功能
dhcp snooping max-user-number X //配置设备允许学习的DHCP Snooping绑定表项的最大个数
dhcp snooping check dhcp-chaddr enable //使能对报文的CHADDR字段进行检查功能

问题二：如何防止非法有线设备接入，写出你的方案（4分）
变种1：为了保证接入安全，怎样防止非法有线用户接入，请给出方案
变种2：当前网络需要优化，为防止非法有线终端接入，请写出方案。

解决方案：通过在局域网中部署“网络接入控制”系统来防止非法终端接入
NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结构，包括802.1X认证、MAC认证与Portal认证。NAC安全构架从用户终端角度考虑内部网络安全，实现对接入用户进行安全控制，提供了“端到端”的安全保证。从而保证了网络通信业务的安全性。

802.1x认证本地认证
前提条件
802.1x提供了一个用户身份认证的实现方案，但是仅仅依靠802.1x不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案，因此，需要首先完成以下配置任务：
1.配置AAA客户端，即用户所属的认证域及其使用的AAA方案。
2.如果需要通过RADIUS或HWTACACS服务器进行认证，则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
3.如果需要本地认证，则应该在接入设备上手动添加接入用户的用户名和密码。
在接入设备执行以下命令：
dot1x enable //使能全局802.1x认证
aaa
local-user huawei password simple huawei
local-user huawei service-type 8021x //添加本地接入用户
interface Gx/x/x
dot1x enable //使能接口的802.1x认证
dot1x port-method port //指定接口上用户的接入方式为基于接口
客户端认证软件输入用户名“huawei”，密码“huawei”可以成功上线，执行display access-user可以查看上线用户的信息。
缺省情况下，接口下接入用户的认证方式为基于MAC，该接口下的所有用户上线时均需要单独认证。
配置认证方式为基于接口时，只要该接口下的第一个用户认证成功后，其他802.1x用户无须认证。

MAC认证：
前提条件
MAC认证提供了一个用户身份认证的实现方案，但是仅仅依靠MAC认证不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案，因此，需要首先完成以下配置任务：
1.配置AAA客户端，即用户所属的认证域及其使用的AAA方案。
2.如果需要通过RADIUS或HWTACACS服务器进行认证，则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
3.如果需要本地认证，则应该在接入设备上手动添加接入用户的用户名和密码。
在接入设备执行以下命令：
创建并配置RADIUS服务器模板、AAA认证方案以及认证域
radius-server template xxx //进入RADIUS服务器模板视图
radius-server authentication x.x.x.x x //配置RADIUS认证服务器
radius-server shared-key cipher hello //配置RADIUS共享密钥
创建AAA方案“xxx”并配置认证方式为RADIUS
aaa
authentication-scheme xxx //创建一个认证方案并进入认证方案视图，或者直接进入一个已经存在的认证方案视图
authentication-mode radius //配置认证模式为RADIUS认证
创建认证域“isp1”，并在其上绑定AAA认证方案“xxx”与RADIUS服务器模板“rd1”
aaa
domain isp1 //创建域并进入域视图
authentication-scheme xxx //配置域的认证方案
radius-server rd1 //配置域的RADIUS服务器模板
配置全局默认域为“isp1”。
配置MAC认证。
在全局和接口下使能MAC认证。
mac-authen //使能全局MAC认证功能
interface ethernet x/x/x
mac-authen //使能接口的MAC认证功能。
mac-authen max-user xxx //配置接口允许接入的MAC认证最大用户数量

Portal认证：
在配置完成指向Portal服务器的参数后，设备即能够与Portal服务器进行通信。此时若需对接入用户进行Portal认证，还必须使能设备的Portal认证功能。
针对外置Portal服务器，仅需将配置的Portal服务器模板绑定到VLANIF接口或WAN侧接口上即可对该接口下的用户进行Portal认证。而对于内置Portal服务器，则需先使能内置Portal服务器功能，然后使能设备二层接口的Portal认证功能，才能够对该接口下的用户进行Portal认证。
1.如果内置Portal认证
portal local-server ip x.x.x.x // 配置内置Portal服务器的IP地址
portal local-server https ssl-policy xxx //使能Portal认证功能。
portal local-server enable interface x/x/x //使能Portal认证功能。
2.外置Portal认证
interface interface-type x/x/x
web-auth-server xxx direct | layer3 //使能Portal认证功能

web-auth-server xxx
shared-key cipher xxxxx //配置设备与Portal服务器信息交互的共享密钥为xxxxx，并以密文形式显示

变种4：对于非法接入的主机，要求不能获取DHCP服务器分配地址

1、DHCP地址池中绑定IP和MAC
在DHCP地址池中将合法用户的MAC静态绑定相应的IP地址，然后IP地址池多余的IP地址排除在地址池之外。当增加合法用户的时候，在静态地址池中增加相应的MAC和IP的绑定。可以有效的防止非法用户接入，配置如下：
ip pool xxx //创建地址池
network x.x.x.x mask x.x.x.x //配置地址池空间
excluded-ip-address //排除地址池中多余地址
static-bind IP-ADDR mac-address MAC_ADDR //绑定合法用户IP和MAC
优点：固定IP和MAC，非法用户如果不修改自己的MAC地址为合法地址是无法通过DHCP获取IP地址的
缺点：管理员需要收集所有合法MAC，增加合法用户的时候，需要手工添加，配置繁琐，并且Windows操作系统可以修改非法MAC为合法MAC进行攻击。

2、开启端口端口安全功能
首先将合法用户上线，通过sticky的方式将合法用户的MAC变成安全的MAC，并设置好相应端口相应端口对应的合法MAC地址数量
当出现非法用户上线的时候，可以通过配置执行安全动作，例如丢弃并告警，那么非法用户自然无法获取IP地址。
优点：现网使用的比较常见，配置量少，而且交换机断电重启或者插拔业务绑卡或接口线路也不会导致该sticky的安全表现消失，而且容易大规模部署。
缺点：必须让合法用户先上线转变为安全MAC，如果非法用户先上线，那么可能导致合法用户无法正常上线，而产生安全隐患 。并且Windows操作系统可以修改非法MAC为合法MAC进行攻击。
具体部署如下：
interface GigabitEthernet0/0/1 //进入接口
port-security enable //开启端口安全
port-security max-mac-num X //端口安全MAC地址数量
port-security mac-address sticky 使用sticky的方式转化安全MAC
port-security protect-action res //收到非法MAC用户数据执行的动作为丢弃并告警

3、准入控制（写802.1X，MAC认证，portal认证）
略，如上。