以太网安全基础
端口隔离
当VLAN资源有限,为了实现报文的二层隔离(注意只在本设备生效,接口可以设置多个组)
隔离类型 :
单向隔离:同一隔离组的接口相互隔离,不同隔离组之间不隔离
[Huawei-GigabitEthernet0/0/1]port-isolate enable[groupgroup-id]
双向隔离:实现不同隔离组之间的隔离
[Huawei-GigabitEthernet0/0/1]am isolate{interface-typeinterface-number}&<1-8>
隔离模式:
二层隔离三层互通(缺省)
二层三层都隔离
[Huawei]port-isolate mode{l2|all}
MAC地址安全
MAC地址表项:MAC地址、接口编号、VLAN ID、MAC地址表项类型
MAC地址表项分类
动态MAC地址表项:动态学习会老化(老化时间300s)
静态AMC地址表项:手工指定不会老化即便重启;其他接口收到该MAC就丢弃
黑洞MAC地址表项:手工指定不会老化即便重启,源目MAC是该MAC就丢弃
MAC地址表安全
实现方法:
静态MAC地址表项
[Huawei]mac-address staticmac-addressinterface-type interface-numbervlanvlan-id
黑洞MAC地址表项
[Huawei]mac-address blackholemac-address[ vlanvlan-id]
动态MAC地址老化时间
[Huawei]mac-address aging-timeaging-time
禁止MAC地址学习功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable [ action { discard | forward }]
[Huawei-vlan2]mac-address learning disable
限制MAC地址学习数量
[Huawei-GigabitEthernet0/0/1]mac-limit maximummax-num
[Huawei-GigabitEthernet0/0/1]mac-limit action { discard | forward }
[Huawei-GigabitEthernet0/0/1]mac-limit alarm { disable | enable }
[Huawei-vlan2]mac-limit maximummax-num
端口安全
1.通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
2.端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
安全动态MAC地址
使能端口安全未使能Sticky MAC功能的动态MAC地址 (默认不会老化可以设置老化时间但重启会丢失)
安全静态MAC地址
使能端口安全的静态MAC地址 (不会丢失)
Sticky MAC
使能端口安全也使能Sticky MAC功能的MAC地址 (不会丢失)
安全动作
Restrict:丢弃源MAC地址不存在的报文并上报告警。
Protect:只丢弃源MAC地址不存在的报文,不上报告警。
Shutdown:接口状态被置为error-down,并上报告警。 //error-down auto-recovery cause port-security intervalinterval-value命令使能接口状态自动恢复。
[Huawei-GigabitEthernet0/0/1]port-security enable
[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number
[Huawei-GigabitEthernet0/0/1]port-security mac-addressmac-addressvlanvlan-id
[Huawei-GigabitEthernet0/0/1]port-security protect-action{protect|restrict|shutdown}
[Huawei-GigabitEthernet0/0/1]port-security aging-timetime[type{absolute|inactivity} ]
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number
[Huawei-GigabitEthernet0/0/1]port-security mac-address stickymac-addressvlanvlan-id
MAC地址漂移
交换机上一个vlan内有两个接口学习到同一个MAC地址,后学习到的MAC地址覆盖原有MAC地址表项的现象。
出现大量MAC地址漂移意味着网络中存在环路或者存在网络攻击行为。
防止MAC地址漂移
对于环路产生的MAC地址漂移破除环路即可
1.配置接口优先级 //mac-learning priority 5
2.配置不允许相同优先级接口MAC地址漂移 //undo mac-learning priority0allow-flapping
MAC地址漂移检测
1.基于VLAN的MAC地址漂移检测
检测同一VLAN下所有MAC地址是否出现漂移,可以采取的动作:
告警:产生和发送告警信息
接口阻断:接口不收发报文
MAC地址阻断:接口不能收发该MAC地址的报文
2.全局MAC地址漂移检测
检测到MAC地址漂移后,默认上告报警:
关闭接口:
quit-VLAN:退出当前接口所属vlan
MACsec
提供二层数据安全传输
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为802.1AE。
工作工程:
数据完整性检测、数据加密、数据源真实性检查。重放保护
交换机流量控制
流量抑制
作用:保护设备不被大量的流量冲击,以及避免大量的BUM帧泛洪。
实现方式:设备的入接口:可以对所有的流量进行过滤
设备的出接口:可以对BUM帧进行抑制
在vlan视图下:可以对VLAN内的广播流量抑制
[Huawei]suppression mode { by-packets | by-bits }
[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression |unicast-suppression}{percent-value| circir-value[ cbscbs-value] | packetspackets-per-second}
[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression | unicast-suppression } block outbound
[Huawei-vlan2]broadcast-suppressionthreshold-value
风暴控制
DHCP Snooping
保证DHCP客户端从合法的DHCP服务器获取IP地址
DHCP Snooping绑定表:收到DHCP ACK报文中提取关键信息,并获取与PC连接的使能了DHCP Snooping功能的接口信息
通过绑定表记录IP地址、MAC地址、接口编号、VLAN、租期等信息。设备转发数据的时候匹配绑定表进行转发,不匹配则丢弃
DHCP 饿死攻击
攻击者通过不断伪造源MAC地址不同的的DHCP discover报文,向服务器申请IP地址。
解决办法:通过DHCP snooping的MAC地址限制功能来防止
改变CHADDR值的DOS攻击
解决方法:检查DHCP Request报文中CHADDR字段与源地址是否相同。
dhcpsnooping checkdhcp-chaddrenable
中间人攻击
攻击者利用ARP机制,让Client学习到DHCP Server IP与Attacker(攻击者) MAC的映射关系,又让Server学习到Client IP与Attacker Mac的映射关系。本质上是一种嗅探攻击。
解决方法:DHCP snooping绑定表
IP地址欺骗攻击
解决方法:IP源防攻击(IPSG,IP Source Guard),是一种基于二层接口的源IP地址过滤技术。
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。