东莞海天网站建设,网站建设 开源,福田网,如何做国外外贸网站端口隔离
在同一VLAN中可以隔离二层与三层通信#xff0c;让同VLAN内的设备可以通信或者不可以通信。 定义一个端口隔离组#xff0c;在一个组内无法互访#xff0c;不在一个组里面可以进行互访 port-isolate enable group1 //使能端口隔离功能
port-isolate mdoe all //全…端口隔离
在同一VLAN中可以隔离二层与三层通信让同VLAN内的设备可以通信或者不可以通信。 定义一个端口隔离组在一个组内无法互访不在一个组里面可以进行互访 port-isolate enable group1 //使能端口隔离功能
port-isolate mdoe all //全局模式实现二层隔离三层互访
int g0/0/1
port-isloate enable group1
port-isolate mode l2 //全局模式
int vlan 100
arp-proxy inner-sub-vlan-proxy enable 因为2层隔离所以无法发送arp广播因此需要使用arp代理单向隔离
3的数据包可以给1,1不能回给3会被交换机直接丢弃
int g0/0/1
am isolate g0/0/3 //实现单向隔离无法转发到3口
MAC地址安全
MAC地址表项包括
动态MAC地址表项由接口通过报文中的源MAC地址学习获得表项可老化在系统复位接口板热插播或接口板复位后动态表项会丢失。静态MAC地址表项由用户手工配置并下发到各接口板表项不老化。在系统复位接口板热插拔或接口板复位后保存的表项不会丢失。接口和MAC地址静态绑定后其他接口收到源MAC是该MAC地址的报文将会被丢弃。黑洞MAC地址表项由用户手工配置并下发到各接口板表项不可老化。配置黑洞MAC地址后源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
MAC地址表安全功能
静态MAC地址表项将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项可以保证安全通信。
黑洞MAC地址表项防止黑洞通过MAC地址攻击网络交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。怀疑有问题的MAC加入到黑名单中
动态MAC地址老化时间合理配置动态MAC地址表项的老化时间可以防止MAC地址爆炸式增长
禁止MAC地址学习功能对于网络环境固定的场景或者已经明确转发路径的场景通过配置禁止MAC地址学习功能可以限制非信任用户接入防止MAC地址攻击提高网络安全性
限制MAC地址学习数量在安全性较差的网络环境中通过限制MAC地址学习数量可以防止攻击者通过变换MAC地址进行攻击。
配置静态MAC
mac-address static 5411-1111-1111 g0/0/1 vlan 1 配置黑洞MAC
mac-address blackhole 5422-2222-2222 vlan 1 黑洞MAC配置老化时间
mac-address aging-time 10 MAC老化时间如果是0代表永远不老化禁止学习MAC地址
[huawei-g0/0/1]mac-address learning disable [action {discard|foreard}如果要学习则关闭或者丢弃]//关闭MAC地址学习配置最大学习地址数量及违反规则后的动作
[huawei-g0/0/1]mac-limit maximum max-numMAC //地址学习数量
[huawei-g0/0/1]mac-limit action{discard | forward} //超过了数量丢弃还是转发
[huawei-g0/0/1]mac-limit alarm {disable|enable} //超过了数量是否需要报警端口安全
通过在交换机的特性接口上部署端口安全可以限制接口的MAC地址学习数量并且配置出现越线的惩罚措施
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址组织非法用户通过本接口和交换机通信从而增强设备的安全性 安全动态MAC地址例如限制数量为3那么就前三个MAC地址的安全的。安全静态MAC地址Sticky MAC地址一开机没有配置静态的都是动态的用这条命令把动态转为静态的MAC地址。
[Huawei-g0/0/1]port-security enable //开启端口安全功能
[Huawei-g0/0/1]port-security max-mac-num max-number //限制学习MAC地址最大数量
[Huawei-g0/0/1]port-security mac-address mac-address vlan vlan-id //静态绑定MAC
[Huawei-g0/0/1]port-security protect-action {protect | restrict | shutdown} //超过数量动作
[Huawei-g0/0/1]port-security mac-address sticky //启用sticky MAC地址漂移可以解决环路
合理的MAC地址漂移从一个接口学习到的MAC地址又从另一个接口上学习到了。
配置接口MAC地址学习优先级高优先级学习到的正常低优先级不学习的不正常配置不允许相同优先级接口MAC地址漂移相同优先级出现直接关闭后来者学习功能
地址漂移检测功能
地址漂移检测
mac-address flapping detection //开启地址漂移检测功能int g0/0/1mac-address flapping trigger error-down //如果出现了地址漂移情况error-down就关闭
int g0/0/2mac-address flapping trigger error-down
error-down auto-recovery cause mac-address-flapping interval 45 //error-down自动恢复时间 MACsec提供二层数据安全传输
IPsec除了VPN功能主要用于加密最早出现在IPV6中后来引入到V4,可以把IP头部后面的内容加密可以用来认证。将IPsec的功能引入到以太中。需要每台设备支持MACsec比较消耗资源。
交换机流量抑制
如果某个设备接口接收到的报文流量过大可能会影响到其他业务配置流量抑制可以阻止已知组播报文和已知单薄报文的大流量冲击用来限制广播未知组播未知单播BUM流量如果流量太多需要将流量抑制到阈值再进行转发
流量抑制工作原理
在接口入方向上设备支持对广播未知组播未知单播已知组播和已知单薄报文按百分比包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较当入口流量超过配置的阈值时设备会丢弃超额的流量。 流量抑制举例 风暴控制
不停的发广播产生广播风暴超过阈值可以将端口关掉对广播帧进行控制的超过阈值实行惩罚措施关闭端口或者error-down storm-control whitelist protocol {arp-request bpdu | dhcp |igmp | ospf}* 流量抑制是把流量压到阈值进行转发而广播风暴是流量超过阈值会阻塞或者error-down
DHCP Snooping 中继配置两个命令要别人知道他是中继服务器指定DHCP服务器
中继把客户机的广播报文转成单播发给服务器服务器单播回给中继
dhcp snooping
dhcp本身是有缺陷的因为如果有两个dhcp服务器他会选择最先收到的地址使用这就是一个bug。
客户机会选择最先回复的地址
把端口分为信任端口和非信任端口 信任接口可以处理dhcp的四种报文接PC的端口可以设置非信任接口只能处理discover和request报文。
因为要看是什么报文所以需要解封装解封装把IP地址MAC地址VLAN和接口租期都进行记录形成一个snooping表。
预防DHCP饿死攻击
我是黑客源源不断的去模拟新的MAC地址申请IP地址把IP地址都占用服务器地址池里面就没有地址可用了饿死攻击
DHCP Snooping防饿死攻击
对于饿死攻击可以通过DCHP Snooping的MAC地址限制功能来防止。该功能通过限制交换机上允许学习到的最多MAC地址数目防止通过变换MAC地址大量发送DHCP请求。
改变CHADDR值的DOS攻击
因为dhcp server中的chaddr字段记录的MAC地址来看MAC地址是否被分配为IP地址所以黑客持续更改chaddr字段里面的值但是MAC地址还是同样的来绕过交换机防御。
DHCP Snooping防改变CHADDR值的DoS攻击
为了避免收到攻击者改变CHADDR值的攻击可以在设备上配置DHCP Snooping功能检查dhcp request报文中的CHADDR字段。如果该字段根数据帧头部的源MAC相匹配转发报文否则丢弃报文。从而保证合法用户可以正常使用网络服务。
DHCP中间人攻击
利用ARP机制让客户机与服务器之间数据交互时需要经过黑客的设备
利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP客户端和服务器 DHCP Snooping防DHCP中间人攻击
解决方法为防御中间人攻击可使用DHCP snoooping的绑定工作模式当接口接收到ARP或者IP报文使用ARP或者IP报文中的“源IP源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发如果不匹配就丢弃。 开启snooping功能之后所以接口默认都是非信任接口 dis dhcp snooping user-bind all有状态的表项 IPSG
IP Source Guard针对IP判断源主机是否合法。
IP地址欺骗攻击中攻击者通过伪造合法用户的IP地址获取网络访问权限非法访问网络甚至造成合法用户无法访问网络或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制可以阻止此类网络攻击行为lIP源防攻击IPSGIP Source Guard是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。 工作原理
IPSG利用绑定表源IP地址、源MAC地址、所属VLAN、入接口的绑定关系去匹配检查二层接口上收到的IP报文只有匹配绑定表的报文才允许通过其他报文将被丢弃。常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。
