交换安全技术

目录

端口隔离

MAC地址安全

端口安全

MAC地址漂移防止与检测

MACsec工作机制

交换机流量控制

交换机风暴控制

DHCP Snooping

IPSG:IP源防护

DAI-动态ARP检测


端口隔离

  1. 在同一个VLAN组中的设备,加入到同一个隔离组中,实现同VLAN设备不能通信
  2. 隔离类型:
    1. 双向隔离
      1. 同一端口隔离组的接口之间相互隔离,不同的端口隔离组的接口之间不隔离
      2. 端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能
      3. [Huawei-Ethernet0/0/1] port-isolate enable group 1
    2. 单向隔离
      1. 为实现不同端口隔离组的接口之间的隔离
      2. 在接口A上配置与接口B之间的单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A
      3. [Huawei-Ethernet0/0/1] am isolate E0/0/2
  3. 端口模式:
    1. [Huawei] port-isolate mode { l2 | all }
      1. 缺省下,端口隔离模式为L2
      2. L2端口隔离模式为二层隔离三层互通
      3. all端口隔离模式为二层三层都隔离,同一VLAN的不同端口下用户二三层彻底隔离无法通信

MAC地址安全

  1. 动态MAC(Dynamic)
    1. 动态表项会老化
    2. [Huawei] mac-address adding-time adding-time
  2. 静态MAC(Static)
    1. 用户手工配置,并下发各接口板,表项不可老化
    2. 指定的VLAN必须已经创建并加入绑定的端口;指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址
    3. [Huawei] mac-address static mac-address G0/0/1 vlan vlan-id
  3. 黑洞MAC(Blockhole)
    1. 处于安全考虑,在交换机上配置,将某MAC地址指向黑洞MAC,将该帧丢弃
    2. 用户手工配置,并下发到各接口板,表项不可老化
    3. 举例:在局域网中,某台主机常发送违法干扰其他主机的行为帧,就将该帧的源MAC指向黑洞MAC
    4. [Huawei] mac-address blackhole 1234-1234-1234 [ vlan vlan-id ]
  4. 禁止MAC地址学习功能:
    1. 关闭基于接口的MAC地址学习功能:
      1. [Huawei-G0/0/1] mac-address learning disable { discard | forward }
      2. 缺省下,接口的MAC地址学习功能处于使能状态
      3. 关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发
      4. 当配置动作为Discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表匹配时,则对该报文进行转发,反之
    2. 关闭基于VLAN的MAC地址学习功能:
      1. [Huawei-vlan2] mac-address learning disable
      2. 缺省下,vlan的MAC地址学习功能的使能的
      3. 当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置
  5. 限制MAC地址学习数量
    1. 配置基于接口限制MAC地址学习数
      1. [Huawei-G0/0/1] mac-limit maximum max-num
      2. 缺省不限制MAC地址学习数量
    2. 配置当MAC地址数达到限制后,对报文应采取的动作
      1. [Huawei-G0/0/1] mac-limit action { discard | forward }
      2. 缺省下对超过MAC地址学习数限制的报文丢弃动作
    3. 配置当MAC地址数达到限制后是否进行告警
      1. [Huawei-G0/0/1] mac-limit alarm { disable | enable }
      2. 缺省下对超过MAC地址学习数限制的报文进行告警
    4. 配置基于VLAN限制MAC地址学习数
      1. [Huawei-G0/0/1] mac-limit maximum max-num
      2. 缺省下不限制MAC地址学习数

端口安全

  1. 限制MAC地址学习的数量,防止非法MAC被学习
  2. 若合法设备不发送数据帧,MAC地址表会老化
    1. 配置安全动态MAC,各端口学习到的MAC地址会老化
    2. 可配置安全静态MAC,将下发各端口MAC地址不老化
    3. 也可使用skicky-MAC动态学习MAC地址,先学习的MAC地址为合法地址,并不会老化
  3. 学习到非法MAC地址后的保护动作
    1. 丢弃
    2. 丢弃并告警
    3. shutdown
  4. 端口安全配置命令
    1. 使能端口安全功能:

    你可能感兴趣的:(ensp,HCIP,安全,网络)