浙江师范大学网络改造总结(博达交换机网络安全防御技术应用)

 

 
 
 
 
 
 
 
 
浙江师范大学网络改造总结(博达交换机网络安全防御技术应用)
                                                       
 
 
 
 
 
 
 
 
 
 
 
 
一.    改造前网络状况及需求... 4
二.    改造方案... 4
1 网络拓扑... 4
2 接入层网络改造(楼汇聚,层接入)... 6
三.    博达交换机网络安全防御技术介绍... 6
1 Port Security技术... 8
1.1      MAC/CAM攻击的原理和危害... 8
1.2      使用 Port Security feature 防范MAC/CAM攻击... 8
1.3      Port-Security配置命令... 9
1.4      使用其它技术防范MAC/CAM攻击... 10
1.5      Port-Security 功能应用配置... 10
2 DHCP Snooping技术... 11
2.1   采用DHCP管理的常见问题... 11
2.2   DHCP Snooping技术概况... 11
2.3   基本防范... 12
2.4   高级防范... 12
2.5 DHCP Snooping功能应用配置... 13
3 Dynamic ARP Inspection技术... 13
3.1   ARP欺骗攻击原理... 13
3.2  防范方法... 14
3.3  DAI功能应用配置... 14
3.4   配置DAI后的效果... 14
4    IP Source Guard技术... 14
4.1   常见的欺骗攻击的种类和目的... 14
4.2   IP/MAC欺骗的防范... 15
4.3   IP Source Guard功能应用配置... 15
5 Filter过滤技术... 15
6 ACL访问列表控制技术... 17
7 Strom-Control技术... 17
8 QoS技术... 18
9 Logging and Warning技术... 18
10.总结... 19
11.浙师大实际配置... 19
四.    工程中的问题及解决情况... 24
1 Filter功能参数确认... 24
2 DHCP Snooping 功能的应用及问题的处理... 25
2.1 DHCP Snooping 功能的应用... 25
2.2实际应用情况... 27
2.3前后出现的问题及处理情况... 28
2.4 DHCP Snooping功能中的不足... 29
3 ARP表不稳定,MAC地址表不稳定... 30
4 ACLQoS 不能同时使用... 31
5.内存泄漏... 31
6.华为接入层交换机下的用户无故断线... 31
7Arp max-incomplete 100 命令重复... 31
五.    改造后网络状况... 32
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
一.       改造前网络状况及需求
浙江师范大学是一所以教育为主的省属的重点大学,学校现有16个学院47个专业,全日制本科在校生19530余人,研究生1400人。高峰时段同时网络在线人数高达6000人。
由于随着网络应用和网络业务需求的不断增长,随着网络技术的不断发展,原先的网络结构逐渐暴露出一系列严重问题,使得网络的整体性能、稳定性和安全性都不容乐观,急需优化改造。原先网络的主要问题如下:
1.原学校的3台cisco 4506会聚交换采用二层vlan透传的方式与华为MA 5200G互联。少量专线接入用户通过校内的cisco4506的DHCP服务获得地址(在cisco4506上配置网关,vlan终结在cisco4506上),这时三台cisco4506汇聚交换机的压力较轻,但是MA5200G的压力巨大,所有学生用户都是通过MA5200G的DHCP服务获取地址,网关指向MA5200G。一旦受到Arp,igmp,dhcp等攻击时,MA5200G的CPU使用率就非常高。平时MA5200G三块业务板的CPU经常高达90%以上,造成用户无法获取ip地址和经常断线的现象。
2.浙师大网络目前最严重的问题是接入层(楼汇聚,层接入)的ARP攻击严重导致用户不能正常上网,频繁断线。浙师大接入层的绝大多数交换机属于普通二层交换机,无法支持VLAN划分,广播风暴抑制等功能,这造成广播域过大,病毒攻击等问题很容易造成网络拥塞或中断,同时大量的病毒攻击已经造成了上层网络设备运行不稳定。
3.网络接入层交换机安全配置需要进行优化,包括VLAN细化,广播隔离。
 
二.       改造方案
我们博达公司主要负责接入层的改造,使用我们bdcom S3424和bdcom S3448替代原有楼汇聚设备。S3424和S3448具有完善的安全防御功能,通过filter,DHCP Snooping,port security,storm-contrl等功能,有效地过滤了ARP,IGMP,DHCP等攻击,控制了广播风暴等,提高了安全等级,可以有效减轻上层设备MA5200G上的压力,保护MA5200G不受到攻击,从而解决用户无法获取ip地址,经常断线,上层设备运行不稳定等问题。
 
1. 网络拓扑
 

改造后实际网络拓扑
 

 
规划时功能描述网络拓扑
这和实际的网络拓扑略有不同。在实际实施中楼汇聚使用的是我们的S3424和S3448,层接入不是使用的我们的S2226和S2448,使用的是华为2403H或D-link或港湾的二层交换机。在S3424和S3448上应用各种安全防御技术。
 
2. 接入层网络改造(楼汇聚,层接入)
由于浙师大接入层网络存在着学生下载流量大,网络中存在大量的病毒包,广播包和多播视频流,对网络造成极大的冲击和广播风暴,给网络安全可靠的运行带来风险和阻碍。
针对目前接入层网络中存在的问题,改变原二层VLAN透传方式,每幢学生公寓增加一台三层楼汇聚交换机(S3424或S3448),在此交换机上配置透传相应vlan,每个接口都为trunk模式(上联cisco 4506,下联层接入二层交换机),除了少量直接连接学生用户的接口为access模式。学生用户的数据走二层交换,ip地址从MA5200G上获得,网关指向MA5200G。VLAN2为管理VLAN。在新增的楼汇聚交换机上(S3424和S3448)配置必要的控制访问列表,广播风暴抑制,vlan透传,防御arp,dhcp,igmp攻击,开启DHCP-Snooping等策略,提高接入层网络及设备的稳定性,缩小因大量攻击造成接入层网络及设备出现故障的概率。
同时对大部分层接入的二层交换机进行更换(更换成华为2403H及D-link),并实现每个二层交换机端口一个VLAN的划分,此举可有效限制广播域范围,把ARP攻击和病毒扩散限制在中毒用户所在的VLAN内,从而控制病毒的扩散。在层接入交换机的每个端口上启用广播风暴抑制功能,减少广播包对上层网络设备的冲击。
进行接入层VLAN划分以后,华为MA5200G可以限制每个VLAN中ARP攻击的流量。但原先ARP攻击源较多(10%以上的用户感染病毒),即使实现每个交换机端口一个VLAN的划分,总的ARP攻击流量仍然会较大,导致MA5200G负担过重,影响用户正常上网。因此,我们和华为的技术人员经过了协商,确认MA5200G攻击报警机制,确定了更为合适的安全防御参数,使安全防御功能更为有效。同时,我们把那些在S3424和S3448上过滤掉的中毒用户的MAC地址信息上传到指定的日志服务器,便于技术人员对整个网络的维护。
接下来是结合浙师大的应用,对我们博达交换机网络安全防御技术进行详细介绍。
 
三.       博达交换机网络安全防御技术介绍
目前网络上存在的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
根据安全威胁的特征分析,来自于网络的攻击主要包括: MAC 地址泛滥攻击、 DHCP 服务器欺骗攻击、 ARP 欺骗、 IP/MAC 地址欺骗、蠕虫病毒(冲击波、 SQL 蠕虫等)、组播广播冲击等。
浙江师范大学网络改造前,由于ARP欺骗、SQL蠕虫、冲击波震荡波等导致网络不安全、不稳定。改造后,采用博达S3000系列三层汇聚交换机和S2000系列二层智能增强型接入交换机。
博达交换机针对这类攻击提供了全面的解决方案,主要基于下面的几个关键的技术:
Switchport Port Security Feature
DHCP Snooping功能
动态ARP Inspection(DAI,Dynamic ARP Inspection)
源IP检测防护功能(IP Source Guard)
防ARP欺骗攻击、防DHCP欺骗攻击、防IGMP攻击(filter arp,filter dhcp,filter igmp)
访问列表控制技术〔MAC ACL、IP(TCP/UDP)ACL〕
组播、广播风暴抑制(Storm-control)
QoS流量限速
日志报警
 
下面主要结合浙江师范大学网络实际应用情况来说明如何在博达交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、ARP欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的交换机端口;防止IP地址冲突。同时对于大多数对二层、三层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
 
网络安全实施图:
 

下面对博大交换机各项网络安全防御技术进行说明
 
1. Port Security 技术
1.1   MAC/CAM 攻击的原理和危害
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。CAM 表的大小是固定的,不同的交换机的CAM 表大小不同。MAC/CAM 攻击是指利用工具产生欺骗 MAC,快速填满CAM 表,交换机CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
1.2   使用 Port Security feature 防范MAC/CAM攻击
博达交换机Port Security feature 可以防止MAC和MAC/CAM攻击。通过配置Port Security可以控制:
• 端口上学习或通过哪些IP地址或MAC 地址
• 端口上学习的最大MAC地址数
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。
在所有直连PC、服务器的交换机上可以启用该功能
1.3   Port-Security 配置命令
博达交换机Port-Security特性采取两种操作,Bind(绑定,允许)和Block(阻塞,禁止)。
Switch_config_f0/1#switchport port-security ?
 bind    -- Config ip address binding with mac address on current port
 block -- Block ip with mac address on current port
注意,这条命令是配置在端口上的,只对进入端口的数据包有效
 
(1)端口bind绑定功能
(源IP、源MAC、源IP-MAC、关于某个sender IP地址的ARP)
Switch_config_f0/1#switchport port-security bind ?
       ip           -- Config the function for ip packet
        mac          -- Config mac address
        arp          -- Config the function for arp packet
 both-arp-ip -- Config the ip address for both arp-ip packet
      
配置举例:
interface FastEthernet0/1
switchport port-security bind ip 192.168.1.100
 switchport port-security bind mac 0000.e26d.8ca3
 switchport port-security bind ip 192.168.1.101 mac 0000.e26d.8ca2
      switchport port-security bind arp 192.168.1.1 mac 000a.ebbf.2b30
 switchport port-security bind arp 192.168.1.2
!
在F0/1端口只有符合上述配置条件的源IP地址、源MAC地址,ARP(sender ip)或者源IP-源MAC、ARP(sender ip)-源MAC组合才能准入。其他不符合条件的数据包一律丢弃。
 
(2)端口block功能
可以block(即阻塞过滤)某个源IP地址,某个源MAC地址,关于某个IP地址的ARP Response报文,某个源IP地址和关于某个IP地址的ARP报文的组合。
Switch_config_f0/1#switchport port-security block ?
         ip           -- Config the function for ip packet
         mac          -- Config mac address
      arp          -- Config the function for arp packet
        both-arp-ip -- Config the ip address for both arp-ip packet
      
interface FastEthernet0/1
switchport port-security block arp 192.168.1.1
switchport port-security block ip 192.168.1.100 mac 0000.e26d.8ca3
!
在F0/1端口对符合上述配置条件的ARP(sender ip)报文、源ip地址、源MAC地址,或者源IP-源MAC、ARP(sender ip)-源MAC组合进行block过滤,其它报文都允许进入。
1.4   使用其它技术防范 MAC/CAM攻击
除了 Port Security,采用DAI 技术也可以防范 MAC 地址泛滥攻击。
1.5   Port-Security 功能应用配置
汇聚交换机应用策略:
(1)上行Trust端口配置
switchport port-security bind arp 172.21.129.2 mac 00e0.0f32.1c59
//将PPPoE Server内网口的ARP(sender ip)-MAC地址组合绑定到上行口。上行口只能接受来自网关MA5200G的ARP报文。
(2)Untrust端口配置�D�D直连PC或服务器和下联二层接入交换机
switchport port-security block arp 172.21.129.2
//禁止该端口接受sender ip为172.21.129.2这个IP地址(网关)的ARP报文,防止arp 欺骗,冒充网关
对于那些直连PC或服务器 (静态IP地址)的端口,可以在端口上绑定PC或服务器的ip地址和mac
switchport port-security bind ip 172.21.129.100 mac 0000.e26d.8ca3
switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3
//将该口直连PC或服务器(静态IP地址)的IP-MAC地址组合、ARP-MAC地址组合绑定到该端口
 
2. DHCP Snooping 技术
2.1 采用DHCP管理的常见问题
采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
• DHCP Server 的冒充。
• DHCP Server 的Dos 攻击。
• 有些用户随便指定地址,造成网络地址冲突。
由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。
2.2 DHCP Snooping 技术概况
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示:
Switch_config#show ip dhcp-relay snooping binding
Hardware Address   IP Address  remainder time    Type         VLAN       interface
00-e0-0f-32-1c-59    172.21.129.2    infinite       MANUAL         1       FastEthernet0/1
00-00-e2-6d-8c-a3  172.21.129.100  1185361564 DHCP_SN         3       FastEthernet0/4
这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测DAI和IP Source Guard使用。
2.3 基本防范
首先定义交换机上的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些端口的非正常 DHCP 报文,如下图所示:
 

 
需要注意的是 DHCP 绑定表要存在本地存贮器或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,网卡不断电的话,不会再次发起 DHCP 请求,如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。所以为了解决这个问题,我们可以定时把DHCP Snooping binding信息上传到指定tftp服务器。
2.4 高级防范
通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的MAC地址是相同的,但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ,实施 Dos 攻击, Port Security 就不起作用了, DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。
2.5 DHCP Snooping功能应用配置
汇聚交换机应用策略:
(1)    上行口设置为Trust,和有dhcp snoping功能的交换机直连的端口设置为Trust,和没有dhcp snoping功能的交换机如普通的二层交换机直连的端口设置为Untrust,直连PC或服务器的端口设置为Untrust。
交换机所有端口缺省配置Untrust
通过下面的命令配置为Trust模式:
dhcp snooping trust
 
(2)    全局配置模式开启DHCP Snooping功能,并在每个VLAN启用DHCP Snooping功能
ip dhcp snooping 全局开启DHCP Snooping功能
ip dhcp snooping vlan 1-100,200  定义哪些VLAN启用 DHCP Snooping
对于某些PC或服务器(untrust端口下的)设置静态IP地址的,需要在交换机上手工添加DHCP 绑定表
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
 
(3)    导出 DHCP 绑定表到 TFTP 服务器,定期备份
ip dhcp-relay snooping database-agent 172.21.129.100
ip dhcp-relay snooping db-file dhcp.txt
      
3. Dynamic ARP Inspection 技术
3.1 ARP 欺骗攻击原理
ARP用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。
由于ARP无任何身份真实校验机制,攻击主机通过黑客程序发送ARP欺骗报文告诉请求某个IP地址的主机一个错误的MAC地址,随后使得网络流量流向恶意攻击者的主机,因此攻击主机变成某个局域网段IP会话的中间人,造成窃取甚至篡改正常数据传输的后果。
3.2 防范方法
博达Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
3.3 DAI 功能应用配置
汇聚交换机和接入层交换机应用策略:
(1)    启用DAI功能的前提是已经启用了DHCP Snooping功能;
(2)    交换机可信端口配置arp inspection trust,其余端口缺省不可信(no arp inspection trust);
(3)    全局模式开启DAI功能:
ip arp inspection vlan 1-100,200   定义对哪些 VLAN 进行ARP报文检测
 
3.4 配置DAI后的效果
• 在配置DAI技术的接口上,用户端不能采用指定地址接入网络。如果用户端设置静态IP地址,则必须在端口下配置switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3。
• 由于DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。
• 用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。
      
4. IP Source Guard 技术
4.1 常见的欺骗攻击的种类和目的
常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm。
 
4.2 IP/MAC 欺骗的防范
IP Source Guard 技术通过下面机制可以防范 IP/MAC 欺骗:
• IP Source Guard 使用 DHCP sooping 绑定表信息。
• 配置在交换机端口上,并对该端口生效。
• 运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。
• IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使交换机支持Option 82信息。
      
通过在交换机上配置 IP Source Guard:
• 可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。
• 解决 IP地址冲突问题。
• 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中间人攻击”。
4.3 IP Source Guard 功能应用配置
  汇聚交换机和接入层交换机应用策略:
(1)    启用IP Source Guard功能的前提是已经启用了DHCP Snooping功能;
(2)    交换机可信端口配置ip-source trust,其余端口缺省不可信(no ip-source trust);
(3)    全局模式开启IP Source Guard功能:
ip verify source vlan  1-100,200   定义对哪些 VLAN 进行ARP报文检测
(4)    对于不使用 DHCP 获取IP地址的交换机端口配置:
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
      
5. Filter 过滤技术
Filter过滤技术可以有效防止合法的IP或MAC地址发起的大流量ARP、DHCP、IGMP攻击。
网络中存在这样一种情况:某个IP地址或MAC地址在某台交换机某个端口是合法的,该PC由于某种原因向外发送大量的ARP请求/应答报文、IGMP组播报文或DHCP Discover报文,严重消耗网络交换机CPU资源,利用率可达99%乃至死机。
此时,利用Filter技术定义一个统计周期,限定一个阀值,在规定的统计周期内相关报文数量超过阀值后,交换机对相关MAC地址进行Block操作,Block时间可自定义。
 
全局模式:
filter period 10      统计周期10秒
filter threshold arp /igmp /dhcp /ip 100     统计arp /igmp /dhcp /ip包数量100个
filter block-time 300    禁闭时间300秒
filter igmp                启用对IGMP攻击的过滤
filter dhcp                 启用对DHCP攻击的过滤
filter ip                    启用对IP广播的过滤
filter enable              在全局下启用过滤功能
!
      
端口模式:
interface FastEthernet0/1
filter arp
       filter dhcp
filter ip
!
      
另外:ARP RESPONSE功能配置
arp free-response                //启用免费发放arp response报文的功能
arp free-response interval 30      //发放arp response报文的间隔
      
全局模式,设置限定最大未解析地址数
arp max-incomplete 100
应用:在汇聚层、接入层所有交换机均配置 Filter 功能,有效防止合法主机(合法的 IP 地址和 MAC 地址)发出的大量合法但不正常的 ARP IGMP DHCP 攻击报文。
      
6. ACL 访问列表控制技术
博达交换机支持二层MAC ACL和三层IP ACL。
(1)二层MAC ACL(基于源MAC、目的MAC)
在全局模式下创建VLAN、MAC访问列表,设置允许或禁止某个(些)VLAN、MAC地址到某个(些)VLAN、MAC地址的访问,最后将该VLAN、MAC访问列表应用于端口模式下。
(2)三层IP ACL(基于源目的IP、源目的TCP/UDP端口、时间等)
三层基于IP地址以及应用的访问控制:对于不同网段的通信,通过三层转发,在三层采用ACL访问控制列表技术进行控制,不允许其他网段对业务网段的访问,可以通过配置ACL,禁止从其他网段到业务网段的TCP、UDP报文,控制基于四~七层端口号。对于OA网段,也可以做到单向访问,因为常用的如icmp、telnet、ftp、http、pop、smtp等应用都是采用1024以下的公开侦听端口的,而发送采用1024以上的端口号。
目前的交换机一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
应用:在汇聚层和接入层交换机上配置 ACL ,过滤具有 TCP UDP 端口特征的病毒端口,如 TCP 135 139 445 端口, SQL Server TCP 1433 或者 UDP1434 端口。
 
7. Strom-Control 技术
风暴抑制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。
当风暴抑制开启了时,交换机监控所转发的报文是单播,组播还是广播。交换机周期性统计广播组播和单播的数目,每1秒钟一个周期,当某种类型流量到达了门限值,这种流量就会被丢弃。这个门限可以用组播、广播使用的总的可用带宽百分比或者报文的个数(pps)来指定。
应用:交换机所有直连 PC 或服务器的端口配置:
storm-control broadcast threshold 50    限制广播包数量50个/秒,超过丢弃
 storm-control multicast threshold 50     限制组播包数量50个/秒,超过丢弃
 
8. QoS 技术
博达交换机QoS支持ARP报文识别,通过定义MAC ACL,以及QoS调用MAC ACL对ARP报文进行流量限速(action bandwidth)。
应用:在汇聚层交换机上启用 QoS 流量限速,针对 ARP 总流量进行限制。
mac access-list arp
 permit any any 2054     ARP报文类型
!
policy-map     arp
 classify mac access-group arp
        action bandwidth 1      限制ARP报文数量1秒钟64Kbps
!
interface range FastEthernet0/1 - 24     (所有下行端口应用)
        qos policy arp ingress
      
9. Logging and Warning 技术
博达交换机Filter过滤功能,对ARP、DHCP、IGMP攻击进行过滤,某个MAC地址被Block后会提示一条信息,可以通过日志功能将该信息上传到日志服务器。便于查看并准确定位网络中存在的问题。
应用:在所有交换机上开启 Log 功能。
logging 172.21.120.100
logging trap warnings/information
BDCOM_Switch_config#show filter
Filter threshold: 100 packets in any 60 seconds
Filters blocked:
Cause     Address         seconds     source interface
ARP       0000.e26d.8ca3    22.47     FastEthernet0/3
      
10 .总结
综上所述通过配置博达交换机的上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统 IP地址管理提供了新的思路。
通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:
• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突
• 配置 DHCP server
• 使用静态指定 IP遇到的问题
• 不使用分配的 IP地址和服务器或其他地址冲突
• 不容易定位 IP地址和具体交换机端口对应表
使用静态地址的重要服务器和计算机,可以进行静态绑定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard绑定表项, 来保护这些设备,同时也防止来自这些设备的攻击。
 
使用DHCP Snooping 、DAI、IP Source Guard、Filter、Storm-control、QoS、Log技术能解决大部分网络上存在的攻击、欺骗行为,因为大多数对局域网危害较大的网络病毒都具有典型的特征:IP/MAC、ARP、DHCP欺骗和快速的发包扫描,大量的组播、广播报文等等。采用上述技术很大程度上可以自动切断病毒源,及时告警,并准确定位病毒源。
   
11 .浙师大实际配置
!version 2.0.1K
service timestamps log date
service timestamps debug date
logging 10.1.2.201
!
hostname CY_B_Girl(M)
mirror session 1 destination interface f0/24
mirror session 1 source interface g0/1 both
!
!
!
arp max-incomplete 100
!
!
spanning-tree mode rstp                                     //快速生成树模式
!
!
!
!
ip access-list standard IP-ACCESS
 permit 10.104.4.0 255.255.252.0
!
ip access-list extended virus                                //控制访问列表
 deny    tcp any any eq 113
 deny    tcp any any eq 134
 deny    tcp any any eq 135
 deny    tcp any any eq 136
 deny    tcp any any eq 137
 deny    tcp any any eq 138
 deny    tcp any any eq 139
 deny    tcp any any eq 445
 deny    udp any any eq 134
 deny    udp any any eq 135
 deny    udp any any eq 136
 deny    udp any any eq 137
 deny    udp any any eq 138
 deny    udp any any eq 139
 deny    tcp any any eq 420
 deny    udp any any eq 445
 deny    tcp any any eq 593
 deny    udp any any eq 593
 deny    tcp any any eq 1068
 deny    tcp any any eq 1080
 deny    udp any any eq 1434
 deny    tcp any any eq 1999
 deny    tcp any any eq 2745
 deny    tcp any any eq 3128
 deny    tcp any any eq 3198
 deny    tcp any any eq 3333
 deny    tcp any any eq 4331
 deny    udp any any eq 4334
 deny    tcp any any eq 4444
 deny    udp any any eq 4444
 deny    tcp any any eq 5554
 deny    tcp any any eq 5632
 deny    udp any any eq 5632
 deny    tcp any any eq 5800
 deny    udp any any eq 5800
 deny    udp any any eq 5900
 deny    tcp any any eq 5900
 deny    tcp any any eq 6667
 deny    udp any any eq 7626
 deny    tcp any any eq 9604
 deny    tcp any any eq 9995
 deny    tcp any any eq 9996
 deny    tcp any any eq 10080
 deny    tcp any any eq 31270
 deny    tcp any any eq 39213
 deny    udp any any eq 39213
 permit ip any any
!
!
!
aaa authentication login default local
aaa authentication enable default enable
!
username jhdx password 7 093b2243480f131f6a18
enable password 7 093B2243480F131F6A18 level 15
!
interface FastEthernet0/1                                    //连接二层接入交换机,为Untrust端口
 description Link To D-LINK_Harbour1024Q_1_E0/1     
 filter arp                                                                //过滤arp功能
 filter dhcp                                                       //过滤dhcp功能
 switchport mode trunk
 switchport trunk vlan-allowed 1-2,847-869               //透传相应vlan
 speed 100
 duplex full
 storm-control broadcast threshold 1200              //广播,组播风暴控制
 storm-control multicast threshold 1200
 ip access-group virus                                        //控制访问列表
 switchport protected                                         //端口隔离
 switchport port-security block arp 10.104.4.1     //禁止sender ip为10.104.4.1(网关)的
!                                                                      ARP报文进入,防止冒充网关
interface FastEthernet0/2
 description Link To D-LINK_Harbour1024Q_2_E0/1
 filter arp
 filter dhcp
 switchport mode trunk
 switchport trunk vlan-allowed 1-2,870-892
 speed 100
 duplex full
 storm-control broadcast threshold 1200
 storm-control multicast threshold 1200
 ip access-group virus
 switchport protected
 switchport port-security block arp 10.104.4.1
!
!
interface FastEthernet0/23                                  //直接连接用户PC,为Untrust端口
 filter arp                                                                //arp过滤功能
 filter dhcp                                                       //dhcp过滤功能
 switchport pvid 845                                         //划分VLAN
 storm-control broadcast threshold 50                 //广播,组播风暴控制
 storm-control multicast threshold 50
 ip access-group virus                                        //控制访问列表
 switchport protected                                         //端口隔离
 switchport port-security block arp 10.104.4.1     //禁止sender ip为10.104.4.1(网关)的
!                                                                      ARP报文进入,防止冒充网关
interface FastEthernet0/24
 filter arp
 filter dhcp
 switchport pvid 846
 storm-control broadcast threshold 50
 storm-control multicast threshold 50
 ip access-group virus
 switchport protected
 switchport port-security block arp 10.104.4.1
!
interface GigaEthernet0/1                                   //上联端口,为trust端口
 description Link To C4506_4_GI2/2
 switchport mode trunk
 switchport trunk vlan-allowed 1-2,842-1001,1007-1641,3584-3629 //透传相应VLAN
dhcp snooping trust                                          //设置为trust端口
 arp inspection trust
 ip-source trust
 speed 1000
 duplex full
!
interface GigaEthernet0/2        //下联汇聚交换机3424(有DHCP Snooping 功能),为trust
 description Link To CY_B_Girl(S)_BDCOM_S3424_GI0/1           端口
 switchport mode trunk
 switchport trunk vlan-allowed 1-2,1288-1641,3607-3629  //透传相应VLAN
 dhcp snooping trust                                          //设置为trust端口
 arp inspection trust
 ip-source trust
 speed 1000
duplex full
ip access-group virus                                        //控制访问列表
!
interface VLAN1
 description Management_Vlan
 ip address 1.1.1.1 255.255.255.0
 no ip directed-broadcast
!
interface VLAN2                                               //管理VLAN
 description Management_Vlan
 ip address 10.3.3.39 255.255.255.0
 no ip directed-broadcast
!
filter period 5                                                   //统计时间间隔5秒
filter block-time 7200                                        //blcok时间7200秒
filter threshold arp 25                                        //统计arp包个数25个
filter threshold dhcp 25                                      //统计dhcp包个数25个
filter threshold igmp 50                                     //统计igmp包个数50个
filter igmp                                                        //igmp过滤功能
filter dhcp                                                        //dhcp过滤功能
filter enable                                                      //全局开启过滤功能
!
vlan 1-2,842-1001,1007-1641,3584-3629
!
!
!
ip dhcp-relay snooping                                       //全局开启dhcp snooping功能
ip dhcp-relay snooping vlan 842-1001,1007-1287,3584-3606 //添加需要检测的VLAN
ip arp inspection vlan 842-1001,1007-1287,3584-3606 //全局模式开启DAI功能
ip verify source vlan 842-1001,1007-1287,3584-3606 //全局模式开启IP Source Guard
database-agent 10.1.2.201         //dhcp snooping binding信息上传到10.1.2.201 tftp服务器
ip dhcp-relay snooping db-file CY_B_Girl(M)    //上传文件名为CY_B_Girl(M)
ip dhcp-relay snooping write-time 60                  //上传时间间隔为60分钟
!
!
ip route default 10.3.3.1
!
!
!
tftp-server
!
 
 
四.       工程中的问题及解决情况
1. Filter 功能参数确认
为了配合上层设备MA5200G的报警机制,需要对我们BD S3424/S3448上filter功能的参数进行更为合适的设置。首先需要了解filter功能的处理机制。
    经过自己的测试并和研发交流,确认了filter功能的处理机制:
(1)Filter 功能中统计的报文是经过交换机CPU处理的报文,如广播报文,DHCP报文或发向交换机CPU 的报文,对单波报文不加统计。所以filter功能只能过滤经交换机CPU处理的报文。
(2)filter period 5 filter threshold arp 25 filter block-time 7200指的是在统计周期5秒内,一旦统计到ARP广播包或发向交换机CPU的ARP包超过25个,就block相对应的mac地址7200秒。这里有两点要注意:一是在统计周期内,统计的包个数一超过25个,就block对应mac地址,不必等到周期结束。如,在第二秒统计的包个数已经超过25个,就立即block对应mac。如果在统计周期内,统计的包个数没有到达上限,周期结束后统计清0。二是统计包个数和block都是对应于mac地址的,通过show filter我们就能看出
BDCOM_Switch_config#show filter
Filter threshold: 100 packets in any 60 seconds
Filters blocked:
Cause     Address         seconds     source interface
ARP       0000.e26d.8ca3    22.47     FastEthernet0/3
(3)只要在交换机上配置日志上传功能(warning,information),只要当有mac地址被block了,就会上传到指定日志服务器,便于管理
(4)要在交换机上应用filter功能,必须在全局模式下开启filter功能(filter enable)。Filter arp必须在接口下配置,filter dhcp必须在接口和全局下都配置,filter igmp只需在全局下配置
 
华为MA5200G报警机制相关参数
经过接入层网络改造的学生公寓分别接入在两台 C4506汇聚交换机下,实现了每端口每VLAN的划分,每VLAN下最少有一个用户,最多有5-8个用户。华为MA5200G在相关的业务单板上的Host-Car值配置为8K(VLAN),这是目前华为可配置的最小参数,这样每VLAN的ARP等上报CPU处理的报文最多为12个/s,MA5200G在每VLAN出现每秒12个攻击报文时,并持续5秒种相同或更大频率的攻击,设备将会产生一条告警。每块业务单板在正常开展业务的情况下(CPU控制在50%)可以处理上报CPU处理报文为1Mb/s(每秒1560个报文)。
   参数计算过程:arp报文为64字节,20字节为数据包间隙
8×1024/(8×(64+20))=12
1×1024×1024/(8×(64+20))=1560
确定博达汇聚交换机( S3424/S3448)相关参数
博达汇聚交换机 (S3424/S3448)部署在每幢学生公寓的接入层网络出口处,在交换机上实现了防ARP欺骗和攻击配置,设置为如果在5秒种内检测到50个ARP报文(针对单个MAC),就将此用户(MAC)关闭2个小时,当在一个统计周期内(目前为5秒钟),一旦有用户攻击超过以上设置的最大值,不用等到一个统计周期结束交换机会立即关闭此MAC地址。以上参数可以根据网络现状进行调整,统计周期为1-60秒,统计包数量范围为 5-2000个,因局域网环境下必须依靠ARP进行通信,所以不能完全关闭或过少地限制ARP报文,我们建议设置为5秒50个ARP报文,以满足华为MA5200G正常开展业务,使其单板CPU控制在50%之内。
经过一个月在实际环境下的测试,最后调整了相应参数:统计周期为 5秒,统计arp包数为25个,block时间为2小时。实际配置如下
              filter period 5
filter block-time 7200
filter threshold arp 25
filter threshold dhcp 25
filter threshold igmp 50
filter igmp
filter dhcp
filter enable
      
2. DHCP Snooping 功能的应用及问题的处理
2.1 DHCP Snooping 功能的应用
(1)要应用DHCP-Snooping功能,必须在全局下开启DHCP Snooping功能(ip dhcp-relay snooping),全局下配置需要检测的VLAN (ip dhcp-relay snooping vlan),给端口配置为trust(dhcp snooping trust),默认为untrust端口。这样对于这些需要检测的VLAN中的主机(untrust 端口下的),交换机通过DHCP offer ,DHCP ack报文建立起dhcp snooping binding 信息,绑定信息如下:
Switch_config#show ip dhcp-relay snooping binding
Hardware Address   IP Address  remainder time    Type         VLAN       interface
00-00-e2-6d-8c-a3  172.21.129.100  1185361564 DHCP_SN         3       FastEthernet0/4
对应mac地址,ip地址,租赁时间,VLAN,端口
注意,对于trust端口不会进行检测,其绑定信息也不会建立,通过show ip dhcp-relay snooping binding观察,不会有trust端口下的绑定信息。(其实trust端口下主机的绑定信息同样会建立在硬件中,可以通过show ip dhcp-relay snooping binding all命令查看。而show ip dhcp-relay snooping binding是查看CPU中的绑定信息)。其中有一项为remainder time 为租赁时间,等到此项变为0时,此绑定条目便会消失。
启动了DHCP Snooping功能后,对于这些需要检测的VLAN,如果在untrust端口收到的DHCP Response报文时,会把其丢弃。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
通过show ip dhcp-relay snooping binding,可看到 TYPE 为“手工”。
Hardware Address   IP Address  remainder time    Type         VLAN       interface
00-e0-0f-32-1c-59    172.21.129.2    infinite       MANUAL         1       FastEthernet0/1
 
(2)应用DAI技术,可以根据Snooping bnding信息检测ARP报文。在启用DAI功能的前提是已经启用了DHCP Snooping功能。在全局模式下开启DAI功能,添加需要检测ARP报文的VLAN(ip arp inspection vlan 1-100,200),给端口配置为trust(arp inspection trust),默认为untrust端口。这样,对于在untrust端口,接收到的需要检测VLAN的ARP报文进行检测。
注意,启用DHCP Snooping功能是启动DAI功能的前提,因为其检测依据是DHCP Snooping binding表信息。在untrust端口,符合binding信息的ARP报文允许进入,否则丢弃。对trust端口收到的arp 报文不进行检测。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
 
(3)应用IP Source Guard技术,可以根据Snooping bnding表信息检测IP报文。在启用IP Source Guard功能的前提是已经启用了DHCP Snooping功能。在全局模式下开启IP Source Guard功能,添加需要检测IP报文的VLAN(ip verify source vlan 1-100,200),给端口配置为trust(ip-source trust),默认为untrust端口。这样,对于在untrust端口,接收到的需要检测VLAN的IP报文进行检测。
注意,启用DHCP Snooping功能是启动IP Source Guard功能的前提,因为其检测依据是DHCP Snooping binding表信息。在untrust端口,符合binding信息的IP报文允许进入,否则丢弃。对trust端口收到的IP报文不进行检测。
如果在untrust端口下的用户要使用静态ip,必须在交换机上进行手工绑定,如
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
 
(4)开启了DHCP Snooping,DAI,IP Source Guard功能就可以根据snooping绑定表信息,检测untrust端口收到的arp,IP报文。
如果已经在交换机上建立绑定信息的用户(通过DHCP获取地址)想要换个端口使用,必须先释放地址(ipconfig -release),清除绑定信息,然后再换端口获取地址,重新建立绑定信息。
 
2.2 实际应用情况
 

在这张拓扑中我们可以看到交换机上开启了DHCP Snooping,DAI,IP Source Guard功能,路由器开启DHCP服务。
PC1和PC2在untrust端口下,通过自动获取IP地址建立绑定信息,上网。如果想换端口必须先要释放地址。换到trust端口也必须先释放地址。否则在交换机上debug会显示 此mac已经被另一个端口绑定。
PC3在trust端口下,可以用静态IP上网,不会进行检测。同样PC3也可以用自动获取IP地址上网,这时其绑定信息会建立在硬件中,可以通过show ip dhcp-relay snooping binding all查看,但是这条绑定条目不会起作用,因为trust端口不进行检测,可以使用静态IP。 但有一点要注意,如果PC3想更换到其它trust或untrust端口下自动获取IP上网,那也必须先释放地址,否则同样会在交换机上debug显示 此mac已经被另一个端口绑定。
服务器接在untrust端口下,使用的是静态IP地址。需要在交换机上手工绑定,如:
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
 
2.3 前后出现的问题及处理情况
(1)公司测试部测试正常,能够通过DHCP报文建立起绑定信息。但在浙师大实际环境下应用不正常,能够获得IP地址,但绑定条目建立不起来。
浙师大的DHCP服务是在华为的MA5200G上开启的,后确认华为的DHCP报文和我们的DHCP报文有所区别,存在兼容性问题,所以建立不起来,需要对应华为的DHCP报文更改版本。
版本更改后解决。
 
(2)DHCP Snooping绑定条目建立不正常,remainder time 为-1,绑定条目建立后随即消失。
后确认由于DHCP snooping功能对租赁时间识别的长度和实际租赁时间的长度不匹配导致的。
版本更改后解决。
 
(3)DHCP-SNOOPING 绑定条目上传TFTP出现问题。
版本更改后解决。
(4)经测试,DHCP-SNOOPING 绑定条目在remainder time 变为0时不会清楚。
版本更改后解决。
 
2.4 DHCP Snooping 功能中的不足
(1)我们交换机是把DHCP Snooping绑定信息上传到指定tftp服务器,交换机重启后自动从tftp服务器上读取绑定信息,这相对来说比较麻烦。
我参考过Cisco的关于DHCP Snooping的资料,其是通过写到FLASH中来实现的,比较方便。
我和研发人员交流过相关细节,研发人员指出由于硬件原因难以实现类似功能。
 
(2)我们交换机在添加DHCP手工绑定时有一个很大的缺陷:
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
其中我们可以注意到没有关于VLAN的选项,然而在DHCP Snooping绑定信息
中分别是mac,ip,remainder time,Vlan和接口。
这在实际应用中造成很大的问题,比如在浙师大的情况,S3424下联华为的二层交换机,在二层交换机上划分许多VLAN。S3424下联二层交换机的端口为trunk模式,并为untrust端口。
如果按照上述命令手工绑定的话,因为下联端口为trunk模式,我们可以通过查看DHCP Snooping 表发现:
Hardware Address   IP Address    remainder time    Type         VLAN       interface
00-e0-0f-32-1c-59    172.21.129.2    infinite       MANUAL         1       FastEthernet0/1
其中VLAN这项为1,然而实际中此MAC对应的VLAN并不一定是1,造成手工绑定的用户仍不能够上网。
Cisco 的手工DHCP绑定是这样的:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
其中有VLAN这一项,可以解决上述问题。
 
3. ARP 表不稳定,MAC地址表不稳定
在浙师大实际环境中发现S3424和S3448上ARP地址表不稳定,mac地址表不稳定。通过和研发和测试人员沟通,可能是由于不断地收到生成树拓扑改变报文而导致的。
经观察发现S3424上不断地收到来自上联Cisco 4506的生成树拓扑变化报文(如,Aug 27 11:39:28 STP(TC):RSTP(G0/1) Topo-Change notified by TC flag),我们尝试在S3424上关闭生成树,的确解决了ARP表不稳定的问题。
我们通过在交换机上获取相关信息和查阅相关资料,找到了原因:
在这个网络拓扑中,是要以Cisco4506为根网桥的,Cisco下连了10台左右的S3424。通过观察发现Cisco4506的生成树优先级为32769,BDS3424的生成树优先级为32768,
由于低于Cisco的优先级,所以导致不断产生生成树拓扑变化。
根桥 = 根桥拥有最低的Bridge ID Bridge ID = 桥的优先值 + 桥 MAC address
 
Cisco默认的生成树协议为PVST,对于每个VLAN 都需要有唯一的8byte的桥ID(2byte表示优先级,6byte表示交换机CPU的mac)
PVST的桥优先级(2byte)是这样的
交换机优先级字段变成4bit。另外12bit来表示vlan ID。相加形成唯一的桥ID。
4bit 的交换机优先级+12 bit 扩展系统ID, 12bit 扩展系统ID等于VLAN ID
所以在cisco4506上观察到的优先级为32768+1(VLAN1)=32769
在BD S3424上使用的是RSTP,默认优先级为32768。
在华为2403H上使用的是RSTP,默认优先级为32768。
 
通过和Cisco的技术人员交流,修改了Cisco4506上生成树的优先级为28672,保证其为根桥。S3424和S3448上的arp表稳定。
问题解决。
 
4. ACL QoS 不能同时使用
和研发人员确认过,某些QoS不能和ACL同时使用,因为它们使用的硬件表项有些是相同的,硬件原因,无法解决。
 
5. 内存泄漏
在观察交换机信息时发现某些S3424和S3448有内存泄漏现象,但内存使用不多,没有造成死机。通过发送相关信息给研发,定位是有些不知名的tcp连接的挂起,没有释放。情况还在跟踪,没有解决。
 
6. 华为接入层交换机下的用户无故断线
用户获取地址后,正常上网。随机会出现无故断线,一般过1分钟左右又恢复正常。但是在断线时并不是整个S3424下的所有用户全都断线,也不是S3424下某一台华为2403H下的所有用户全都断线。断线情况只是分别出现在一些用户身上,并不是同时。
通过在S3424和S3448下联华为2403H端口,和华为2403H上联端口抓取报文信息,提交给研发及相关人员,并与之交流,发现在用户无故断线时,S3448上收到来自华为交换机的生成树拓扑变化报文,报文内容显示华为交换机认为自己是根桥,导致某些端口状态变化。所以会有一分钟左右的断线。
和电信人员交流,电信相关人员为了快速解决问题,关闭了二层交换机的生成树协议。
现在网络稳定,问题解决。
 
7. Arp max-incomplete 100 命令重复
配置了Arp max-incomplete 100 命令后,show run发现此条命令出现两条。
和研发人员确认,此情况对全局下配置IP类型命令有影响,IP类型命令得不到保存。
版本更改后解决。
 
五.       改造后网络状况
经过一个月的测试,观察和使用,浙师大网络趋于稳定。在晚间并发连接数已经高达5800,接近于历史最高6000。
在网络改造之前,华为MA5200G经常会受到攻击,每块业务板的CPU使用率常常高达95%以上。经过网络优化改造,BD S3424和BD S3448的网络安全防御技术过滤了绝大多数的攻击,有效地保护了上层核心设备。现在高峰时间MA5200G的每块业务板的CPU使用率都只有5%,效果明显
金华电信相关技术人员有详细的统计资料,很好地证明了这一结果。

你可能感兴趣的:(应用,网络安全,交换机,博达,浙江师范大学)