一:MAC地址表的配置与管理
1.华为交换机缺省的动态mac地址表项老化时间为300s,在系统视图下执行mac-address aging name命令可以修改mac表项的老化时间,实际网络中不建议修改老化时间
2.静态mac地址的优先级永远不会被老化,而且其优先级比动态的高
命令:[SW1]mac-address static 5489-987e-10d0 g0/0/2 vlan 20
华为交换机端口安全
一、MAC地址表分为三张
1、静态MAC地址表,手工绑定,优先级高于动态MAC地址表
2、动态MAC地址表,交换机收到数据帧后会将源mac学习到MAC地址表中
3、黑洞MAC地址表,手工绑定或自动学习,用于丢弃指定MAC地址
二、MAC地址表的管理命令
1、查看mac地址表
<Huawei>display mac-address
2、配置静态mac地址表
[Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 将mac地址绑定到接口g0/0/1在vlan1中有效
3、配置黑洞mac地址表
[Huawei] mac-address blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的为此mac时丢弃帧
4、禁止端口学习mac地址,可以在端口或者vlan中禁止mac地址学习功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard
禁止学习mac地址,并将收到的所有帧丢弃,也可以在vlan中配置
[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
禁止学习mac地址,但是将收到帧以泛红方式转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
5、限制MAC地址学习数量,可以端口或者vlan中配置
[Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable
交换机限制mac地址学习数量为9个,并在超出数量时发出告警,超过的MAC数量将无法被端口学习到,但是可以通过泛红转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
6、配置端口安全动态mac地址
此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃
[Huawei-GigabitEthernet0/0/3]port-security enable
打开端口安全功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1
限制安全MAC地址最大数量为1个,默认为1
[Huawei-GigabitEthernet0/0/3]port-security protect-action ?
配置其他非安全mac地址数据帧的处理动作
protect Discard packets
丢弃,不产生告警信息
restrict Discard packets and warning
丢弃,产生告警信息(默认的)
shutdown Shutdown
丢弃,并将端口shutdown
[Huawei-GigabitEthernet0/0/3]port-security aging-time 300
配置安全MAC地址的老化时间300s,默认不老化
在端口安全动态MAC地址中,配置如上的话,在g0/0/3端口学习到的第一个MAC地址设置为安全MAC地址,此外其他MAC地址在接入端口的话都不给予转发,在300s后刷新安全MAC地址表,并且重新学习安全MAC地址,(哪个MAC地址)先到就先被学到端口并设置为安全MAC地址,但是在交换机重启后安全MAC地址会被清空重新学习。
7、配置端口安全StickyMAC地址
StickyMAC地址不 会老化,我们对交换机配置进行保存以后,交换重启后依然存在,StickyMAC可以将动态学习到的地址转换为StickyMAC也可以手工配置。
[Huawei-GigabitEthernet0/0/3]port-security enable
打开端口安全功能
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky
打开安全粘贴MAC功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1
限制安全MAC地址最大数量为1个,默认为1
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1
手工绑定粘贴MAC地址和所属vlan
[Huawei-GigabitEthernet0/0/3]port-security protect-action restrict
配置其他非安全mac地址数据帧的处理动作
查看StaticMAC地址状态
[Huawei-GigabitEthernet0/0/3] display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98d8-71d5 1 - - GE0/0/3 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
[Huawei-GigabitEthernet0/0/3]
8、配置MAC地址防漂移功能
MAC地址迁移:同一个MAC地址在交换机的一个接口上学习到以后,又在相同vlan的另一个接口上学习到,这个现象被称为mac地址迁移
MAC地址漂移就是:少数的MAC地址迁移,并不会导致MAC地址漂移,但是短时间内大量的MAC地址迁移,就会导致MAC地址漂移,这种情况多数为出现环路的时候发生,所以这个功能也可以用来排查和解决环路问题。
MAC地址防止漂移功能的原理是:
1)在接口上配置优先级,优先级高的接口学习到的MAC地址不会在vlan的优先级低的其他接口上被学到
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3
配置g0/0/2的接口优先级为3,默认为0
2)如果优先级相同那么可以配置不允许相同优先级的接口学习到同一个MAC地址,需要慎用,因为当正常主机关机后,攻击者的主机正常允许,当正常主机再次开机,此时由于我们配置了进行优先级相同的MAC地址发生漂移,所以此时,正常主机不能通信
[SW]undo mac-learing priority 0 allow-flaping
交换机禁止优先级均为0的的接口之间发生MAC地址漂移
3)配置基于VLAN的MAC地址漂移检测
[SW]vlan 10
[SW-vlan10]loop-detect eth-loop alarm-only
开启MAC地址漂移检测功能,并配置如果发生漂移时,发出警告
[SW]vlan 10
[SW-vlan10] loop-detect eth-loop block-time 10 retry-times 2
开启MAC地址漂移检测功能,如果发生漂移直接阻塞10s(block-time字段指定),接口被阻塞时无法收发数据,10s后接口被放开并重新进行检测,此时接口可以正常收发数据,如果20s内没有再检测到MAC地址漂移,则接口阻塞将彻底被解除,如果20s内被再次检测到,则阻塞该接口,如此重复2次(retry-times字段指定),2次后依然能检测到该接口发生漂移,则永久阻塞该接口
dis loop-detect eth-loop 查看MAC地址漂移检测功能所阻塞的接口及阻塞剩余时间
4)配置全局MAC地址漂移检测
[Huawei]mac-address flapping detection
配置全局开启MAC漂移检测,缺省情况下全局MAC地址漂移检测功能已经激活
[SW]mac-address flapping detection exclude valn 10
可以将vlan10添加到MAC地址漂移检测的白名单里面。从而不对vlan10进行检测,这样是防止如下图片情况的发生,此时我们可以采用链路聚合技术,这样无论那个接口收发数据,交换机均认为是一个接口
查看MAC地址漂移记录命令:[Huawei]display mac-address flapping record
9、配置丢弃全0的MAC地址报文功能
在网络中一些主机或者设备在发生故障时,会发送全源和目的MAC地址为全0的帧,可以配置交换机丢弃这些错误报文功能。
[Huawei]drop illegal-mac enable 打开丢弃全零mac地址功能
[Huawei]snmp-agent trap enable feature-name lldptrap 开启snmp的lldptrap告警功能
[Huawei]drop illegal-mac alarm 打开收到全0报文告警功能,前提是必须开启snmp的lldptrap告警功能
10、配置MAC地址刷新arp功能
mac信息更新后(如用户更换接入端口)自动刷新arp表项功能
[Huawei]mac-address update arp
11、配置端口桥接功能
正常情况下,交换机在收到源MAC地址和目的MAC地址的出接口为同一个接口的报文时,就认为该报文为非法报文,进行丢弃,但是有些情况下数据帧的源MAC和目的MAC地址又确实是同一个出接口,为了让交换机能够不丢弃这些特殊情况下的帧需要启用交换的端口桥功能,比如交换机下挂了不具备二层转发能力的HUB设备,或者下挂了一台启用了多个虚拟机的服务器,这样在这些下挂设备的下面的主机通信都是通过交换机的同一个接口收发的,所以这些帧是正常的帧不能丢弃。
[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] port bridge enable 为接口开启桥功能
[Huawei-GigabitEthernet0/0/10] quit
12.如何解除端口安全策略
如需删除端口mac地址绑定用一下命令
- Undo port-security mac-address sticky //删除安全粘贴mac地址
- Undo port-security enable //关闭端口安全
三.DHCP Snooping
1.概述:
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
2.原理:
DHCP监听将交换机端口划分为两类:
- 信任端口:正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口。
- 非信任端口:只能够发送DHCP请求,丢弃来自非信任端口的所有其它DHCP报文。通常为连接终端设备的端口,如PC,网络打印机等。
通过开启DHCP Snooping特性,交换机限制非信任端口(用户端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且并非所有来自非信任端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP拒绝服务攻击。
信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。
3.配置:
[Sw]dhcp enable 全局激活dhcp
[SW]dhcp snooping enable 全局激活dhcp snooping
[SW]vlan 10
[SW-vlan10]dhcp snooping enable
光在全局下开启dhcp snooping是不够的,还需要在特定vlan下开启
[SW]int g0/0/2
[SW-G0/0/2]dhcp snoopong trusted 配置接口为信任接口,缺省为非可信任