网络系统安全

网络系统安全

以太网安全：接口安全、防DHCP欺骗、ARP安全、防IP源欺骗，防止STP、VRRP、路由协议被攻击

接口安全

port-security enable

DHCP Snooping

dhcp snooping enable

动态ARP检测DAI

DAI依赖于DHCP Snooping来实现它的功能 user-bind

IP源防护IPSG

基于DHCP Snooping进行工作 ip source check

虚拟专用网络VPN

VPN按照协议分类主要有：PPTP VPN、L2TP VPN、IPSec VPN、GRE VPN、BGP/MPLS VPN、VPLS、EVPN、SSL VPN等

交换机的端口安全技术可以限制接口上的绑定MAC数量，从而防止MAC泛洪攻击。DHCP Snooping技术使得交换机可以监听接口上的计算机发送DHCP报文的情况，禁止计算机发送非法的DHCP报文，从而防止虚假的DHCP服务器分配非法的IP地址。DHCP Snooping会在交换机上产生一个绑定表，这个表记录了接口上的计算机的IP地址、MAC地址、VLAN等信息，为动态ARP检测、IP源地址保护提供了基础。动态ARP检测使得交换机可以监听接口上的计算机发送的ARP报文情况，ARP报文和DHCP Snooping绑定表信息对比，禁止计算机发送非法的ARP报文，从而防止ARP欺骗。IP源地址保护使得交换机检查接口上收到的IP数据包的源IP地址，源IP地址和DHCP Snooping绑定表信息对比，禁止计算机发送虚假源IP地址的数据包，从而防止IP源地址欺骗。

VPN是在Internet上构建私有网络的技术，采取了加密、散列、密钥交换、身份认证等技术保证数据的安全。IPSec VPN是最常见的三层VPN，对等体之间建立一个IKE SA完成身份验证和密钥信息交换后；在IKE SA的保护下，根据配置的AH/ESP安全协议等参数协商出一对IPSec SA；对等体间的数据将在IPSec隧道中加密传输。AH、ESP是两种常见的安全协议，AH可以防数据篡改、保证身份，ESP可以加密数据、防数据篡改、保证身份。IPSec VPN有隧道模式、传输模式两种封装方式。