一、端口隔离
- 技术背景
- 为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。在大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源
- 由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
2. 端口隔离的概述
-
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
-
同一个端口隔离组是隔离的,但是不同的端口隔离组是可以互通的,或者说是没有加入到这个端口隔离组也是可以互通的
- 3.端口隔离的类型
- L2:无法通过二层通信,但是可以通过路由进行三层通信,隔离了广播报文,从一定的程度隔离了一些BUM数据帧
- ALL:二层跟三层都无法通信,也就是无法通过路由进程三层通信
二、MAC地址表安全
1.MAC地址表项类型
- 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失,默认的老化时间是300s
- 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。永久存储在交换机上,接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃,当发生这种行为的之后交换机会认为是mac地址欺骗,所以会把这个mac地址表丢弃掉
- 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃
三、端口安全
1.安全mac地址类型
- 安全动态mac地址:设备重启后表项会丢失,热插拔之后也会消失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化,如果某个端口开启了mac安全功能,端口下默认只能学习到一个mac地址
- 安全静态mac地址:不会被老化,手动保存配置后重启设备不会丢失,手工静态绑定mac地址
- Sticky MAC地址:不会被老化,手动保存配置后重启设备不会丢失,端口下默认只能学习到一个mac地址
2.保护动作
- Restrict:丢弃源MAC地址不存在的报文并上报告警。
- Protect:只丢弃源MAC地址不存在的报文,不上报告警
- Shutdown:接口状态被置为error-down,并上报告警
四、mac地址漂移防止与检测
1.背景
- MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象,一般一个mac地址只能允许一个端口学习
- 当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象
- 正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为
2.预防mac地址漂移
- 1.当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项
- 2.当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时,后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项
五、交换机流量控制
1.正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能
解决方案
- 流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击
7.DHCP Snooping
1.dhcp攻击介绍
- 饿死攻击:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配,这样子就会导致服务器无法正常的提供服务,攻击者使用模拟mac地址攻击软件,使用不同的mac地址发送discover报文请求服务器分配地址,这时候服务器也会以为是正常的IP地址请求,所以来达到欺骗的目的
2.解决方法,防饿死攻击
- 对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请
3.DHCP Snooping防改变CHADDR值的DoS攻击
为了避免受到攻击者改变CHADDR值的攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务,所以就是检查数据链路层的mac地址是否一样,一样就接收不一样的话就不接受了
4.dhcp中间人攻击
- 攻击者利用ARP机制,让Client学习到DHCP Server IP与Attacker MAC的映射关系,又让Server学习到Client IP与Attacker Mac的映射关系。如此一来,Client与Server之间交互的IP报文都会经过攻击者中转,中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器
解决办法:
- 可以使用dhcp snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击
5.仿冒dhcp服务器攻击
- 根据客户端选择最优的服务器机制,先收到哪个服务器的offer报文那就用谁的,如果收到的是非法服务器的报文,那就会收到了一个错误的IP地址
- 解决方法就是:开启交换机的dhcp snooping功能,把连接到dhcp的接口配置为信任接口,其他接口配置为不信任的接口,这样子的话交换机就只会转发信任接口下发的dhcp报文了,对于不信任的接口则采取丢弃的措施,缺省情况下,在配置snooping之后,所有接口都属于非信任接口,需要自己去指定,
- 解决办法:也可以配置snooping解决这个问题,将合法服务器的接口配置为信任接口
800
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
