交换安全技术

目录

端口隔离

MAC地址安全

端口安全

MAC地址漂移防止与检测

MACsec工作机制

交换机流量控制

交换机风暴控制

DHCP Snooping

IPSG：IP源防护

DAI-动态ARP检测

---

端口隔离

1. 在同一个VLAN组中的设备，加入到同一个隔离组中，实现同VLAN设备不能通信
2. 隔离类型：
   1. 双向隔离：
      1. 同一端口隔离组的接口之间相互隔离，不同的端口隔离组的接口之间不隔离
      2. 端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能
      3. [Huawei-Ethernet0/0/1] port-isolate enable group 1
   2. 单向隔离：
      1. 为实现不同端口隔离组的接口之间的隔离
      2. 在接口A上配置与接口B之间的单向隔离后，接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A
      3. [Huawei-Ethernet0/0/1] am isolate E0/0/2
3. 端口模式：
   1. [Huawei] port-isolate mode { l2 | all }
      1. 缺省下，端口隔离模式为L2
      2. L2端口隔离模式为二层隔离三层互通
      3. all端口隔离模式为二层三层都隔离，同一VLAN的不同端口下用户二三层彻底隔离无法通信

MAC地址安全

1. 动态MAC（Dynamic）
   1. 动态表项会老化
   2. [Huawei] mac-address adding-time adding-time
2. 静态MAC（Static）
   1. 用户手工配置，并下发各接口板，表项不可老化
   2. 指定的VLAN必须已经创建并加入绑定的端口；指定的MAC地址，必须是单播MAC地址，不能是组播和广播MAC地址
   3. [Huawei] mac-address static mac-address G0/0/1 vlan vlan-id
3. 黑洞MAC（Blockhole）
   1. 处于安全考虑，在交换机上配置，将某MAC地址指向黑洞MAC，将该帧丢弃
   2. 用户手工配置，并下发到各接口板，表项不可老化
   3. 举例：在局域网中，某台主机常发送违法干扰其他主机的行为帧，就将该帧的源MAC指向黑洞MAC
   4. [Huawei] mac-address blackhole 1234-1234-1234 [ vlan vlan-id ]
4. 禁止MAC地址学习功能：
   1. 关闭基于接口的MAC地址学习功能：
      1. [Huawei-G0/0/1] mac-address learning disable { discard | forward }
      2. 缺省下，接口的MAC地址学习功能处于使能状态
      3. 关闭MAC地址学习功能的缺省动作为forward，即对报文进行转发
      4. 当配置动作为Discard时，会对报文的源MAC地址进行匹配，当接口和MAC地址与MAC地址表匹配时，则对该报文进行转发，反之
   2. 关闭基于VLAN的MAC地址学习功能：
      1. [Huawei-vlan2] mac-address learning disable
      2. 缺省下，vlan的MAC地址学习功能的使能的
      3. 当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时，基于VLAN的优先级要高于基于接口的优先级配置
5. 限制MAC地址学习数量
   1. 配置基于接口限制MAC地址学习数
      1. [Huawei-G0/0/1] mac-limit maximum max-num
      2. 缺省不限制MAC地址学习数量
   2. 配置当MAC地址数达到限制后，对报文应采取的动作
      1. [Huawei-G0/0/1] mac-limit action { discard | forward }
      2. 缺省下对超过MAC地址学习数限制的报文丢弃动作
   3. 配置当MAC地址数达到限制后是否进行告警
      1. [Huawei-G0/0/1] mac-limit alarm { disable | enable }
      2. 缺省下对超过MAC地址学习数限制的报文进行告警
   4. 配置基于VLAN限制MAC地址学习数
      1. [Huawei-G0/0/1] mac-limit maximum max-num
      2. 缺省下不限制MAC地址学习数

端口安全

1. 可限制MAC地址学习的数量，防止非法MAC被学习
2. 若合法设备不发送数据帧，MAC地址表会老化
   1. 配置安全动态MAC，各端口学习到的MAC地址会老化
   2. 可配置安全静态MAC，将下发各端口MAC地址不老化
   3. 也可使用skicky-MAC，动态学习MAC地址，先学习的MAC地址为合法地址，并不会老化
3. 学习到非法MAC地址后的保护动作：
   1. 丢弃
   2. 丢弃并告警
   3. shutdown
4. 端口安全配置命令
   1. 使能端口安全功能：