【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard

前言

以太网交换安全相关知识点总结完毕，接下来开始综合拓扑实验，本文章引用了华为官网的图片和命令，本意是为了方便自己复习使用，如有侵权，请联系删除。

一、交换机流量背景

在网络拓扑环境中很有可能发生环路，比如正常情况下一个二层设备接口收到广播会对其他同vlan接口转发这些报文，但是如果某种报文流量过大就可能会对设备造成冲击，使其无法正常处理其他业务,于是产生了交换机流量控制中的流量控制.
这时如果产生了环路就会引起广播风暴，严重降低设备转发性能。这时候就需要对交换机内广播风暴进行控制以维护设备性能，于是产生了交换机流量控制中的风暴控制。

二、交换机流量控制两种实现方式

2.1 流量抑制（超出部分丢弃）

流量抑制：原理类似acl，可以在接口的入方向以及出方向进行配置（依实际需求进行选择），可以对广播、单播、组播等按照百分比、包速率或者比特速率进行流量抑制，当流量超出我们所规定的阈值设备就会对超出部分流量进行丢弃，未超出部分正常转发。
也可以针对某个vlan进行流量抑制，同样，当监控内vlan广播报文速率超出所规定的阈值时，设备就会对vlan内流量进行抑制，超出规定部分将会被丢弃。

2.2 风暴控制（对有超出部分报文进行阻塞）

风暴控制主要是针对广播风暴进行设计的，所以他的做事方式相对于流量抑制较狠，直接对端口包平均速率大于所规定的最大阈值的端口进行阻塞报文或者直接对接口进行关闭，这样才可以达到破除环路的目的。

三、DHCP Snooping概述及实现原理

DHCP我们都有所了解，但是DHCP的安全性大家有没有想过呢，不要认为DHCP能产生什么大的安全问题，我们接下来就讲一讲DHCP可能遭受的攻击以及我们DHCP Snooping是如何进行克服的。

3.1 DHCP信任功能实现原理

• DHCP 信任功能：配置DHCP Snooping的设备会将接口配置为信任接口与非信任接口，信任接口可以正常接收DHCP ACK、DHCP NAK、DHCP Offer报文，有主机请求DHCP 分配IP地址时，设备不会向非信任接口进行转发，从非信任接口发送过来的的DHCP ACK、DHCP NAK、DHCP Offer报文也会在进入设备时就及时丢弃
• DHCP 信任功能工作原理：当设备收到DHCP请求报文后会转发给所有信任接口，如没有信任接口将会直接丢弃。当信任DHCP服务器发送响应报文经过该设备时只会将报文转发给开始DHCP snooping的接口，如果没有DHCP snooping就会直接丢弃
  3.2 DHCP Snooping绑定表
  
  开启DHCP Snooping功能的设备会从收到的DHCP ACK报文（服务器响应报文）中提取关键信息（pc mac地址、分配的IP地址、租期等）把所提取的关键信息与接口编号和vlan等组成一张DHCP绑定表，该表记录了DHCP客户端与DHCP服务器之间的各种关系，能够对请求报文或者伪造者进行检查，从而防范非法用户的攻击。

很像去仓库借用东西，需要填写各种相关信息进行登记，以便查询是否为本公司人员或者是否重复借用。

四、DHCP攻击手段及防范措施

4.1DHCP饿死攻击

攻击原理：
原理很简单就是黑客持续大量的向DHCP服务器进行申请IP地址，直到DHCP无可分发IP地址给正常用户才算罢休。
解决办法：
主要问题就是没法区分这个申请者是好是坏，他申请设备就会傻乎乎的转发请求信息。所以我们可以使能DHCP Snooping功能，对请求报文的CHADDR字段进行检查，检查内容就是你的CHADDR（硬件地址/mac地址）字段是否和你发起请求的mac地址相对应，对应就转发，不对应就丢弃，从而保证合法用户可以正常使用DHCP服务。

可以理解为大街上发放免费鸡蛋，凭借报上名字就可以领取.最开始人们想要占便宜就随便说名字，肆意领取鸡蛋，但是后来发放商学粗名了，必须带着自己的身份证然后再报自己名字，发放商会对领取者报的名字和身份证名字进行比对，一致-给鸡蛋，不一致-不给，（而且领取过的还会被打上记号，规定时间内不可以再领取）。

4.2 DHCP Snooping防DHCP中间人攻击

攻击原理：
攻击者利用ARP机制，让Client学习到DHCP Server IP与Attacker MAC的映射关系，又让Server学习到Client IP与Attacker Mac的映射关系。如此一来，Client与Server之间交互的IP报文都会经过攻击者中转然后再由攻击者进行转发。

解决办法：
从本质上讲，中间人攻击是一种Spoofing IP/MAC攻击（电子欺骗）中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。
我们可以使用绑定表的工作模式啊，学习请求报文和响应报文的关键信息再加上设备转发信息混合为DHCP Snooping绑定表，设备对其进行检查，匹配----转发，不匹配----丢弃。
注：绑定表内有用户的mac地址、IP地址、vlan id、地址租期，检查目的mac就可以把中间人给揪出来。

五、IPSG技术概述

IPSG(IP Source Guard -IP源防攻击)是为了应对攻击者伪造合法用户的ip进行上网窃取机密的行为，IPSG是一种基于二层接口的源IP地址过滤技术，它可以识别请求报文的源IP是否合法，从而阻断不合法IP进行访问。
IPSG实现原理：
IPSG利用绑定表（源IP地址、源MAC地址、VLAN id、入接口）去匹配检查二层接口上收到的IP报文是否合法，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。但是如果伪造者不但伪造IP而且伪造mac地址，这就没办法了，只能通过其他策略进行限制。
常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。

• 端口隔离实现同一VLAN内端口之间的隔离。端口隔离模式分别为二层隔离三层互通、二层三层都隔离。
• 交换机MAC地址表可以分为静态MAC地址表、黑洞MAC地址表、动态MAC地址表。
  端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址，安全MAC地址通常与安全保护动作结合使用。
• 交换机开启MAC地址漂移检测有助于工程师快速处理交换机环路故障。
• MACsec定义了基于以太网的数据安全通信的方法，通过逐跳设备之间数据加密，保证数据传输安全性。
• 流量抑制与风暴控制主要区别在于流量控制仅仅是对各种报文进行限速处理，超过阈值之后就丢弃，而风暴控制能够根据报文速率的大小采取不同的惩罚动作，包括关闭端口或者阻塞报文。
• DHCP Snooping技术对于防御以太网中关于终端设备自动获取IP的网络攻击有很大的作用，通过配置DHCP Snooping信任端口功能和DHCP Snooping绑定表，可以很好的防范针对DHCP的网络攻击。
• IPSG通过查看交换机绑定表，阻止IP地址欺骗攻击，杜绝非法用户盗用合法IP地址对网络发起攻击

六、流量抑制配置命令

1.（可选）配置流量抑制模式

#缺省情况下，缺省的抑制模式为packets，在bits模式下，流量抑制的粒度更小、抑制更精确
[Huawei] suppression mode {
    
     by-packets | by-bits }

2.配置流量抑制

#接口下配置流量抑制时，抑制模式需与全局的流量抑制模式保持一致。
[Huawei-GigabitEthernet0/0/1] {
    
     broadcast-suppression | multicast-suppression | unicast-suppression} {
    
     percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

3.配置在接口出方向上阻塞报文

[Huawei-GigabitEthernet0/0/1] {
    
     broadcast-suppression | multicast-suppression | unicast-suppression } block outbound

4.配置VLAN的广播抑制速率

[Huawei-vlan2] broadcast-suppression threshold-value

七、风暴控制配置命令

1.配置接口对报文的风暴控制

#对接口上的广播、未知组播或未知单播报文进行风暴控制
[Huawei-GigabitEthernet0/0/1] storm-control {
    
     broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value

2.配置风暴控制的动作

[Huawei-GigabitEthernet0/0/1] storm-control action {
    
     block | error-down }

3.配置风暴控制的检测时间间隔

[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value

4.配置使能接口状态自动恢复

#使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间。
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value

5.（可选）配置流量抑制及风暴控制白名单

[Huawei] storm-control whitelist protocol {
    
     arp-request | bpdu | dhcp | igmp | ospf }*

八、DHCP Snooping功能

1.全局使能DHCP Snooping功能

[Huawei] dhcp snooping enable [ ipv4 | ipv6 ]

2.VLAN视图下使能DHCP Snooping功能

#在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效
[Huawei-vlan2] dhcp snooping enable

3.VLAN视图下配置接口为“信任”状态

#在VLAN视图下执行此命令，则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效。
[Huawei-vlan2] dhcp snooping trusted interface interface-type interface-number

4.接口视图下使能DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1] dhcp snooping enable
5.接口视图下配置接口为“信任”状态

#缺省情况下，设备接口为非信任状态
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted

6.（可选）配置丢弃GIADDR字段非零的DHCP报文

#使能检测DHCP Request报文中GIADDR字段是否非零的功能。此命令同时可以在VLAN视图或接口视图下进行配置。
在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则对该接口下的所有DHCP报文命令功能生效
[Huawei] dhcp snooping check dhcp-giaddr enable vlan {
    
     vlan-id1 [ to vlan-id2 ] } 

九、IPSG配置命令

1.配置静态用户绑定表项

#IPSG按照静态绑定表项进行完全匹配。
[Switch1] user-bind static ip-address 10.1.1.1 mac-address 5489-98C2-1486 

2.使能IPSG功能

#使能接口或者VLAN的IP报文检查功能，VLAN视图配置与接口视图一致
[Huawei-GigabitEthernet0/0/1] ip source check user-bind enable

3.使能IP报文检查告警功能

[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm enable

4.配置IP报文检查告警阈值

#配置了IP报文检查告警功能后，当丢弃的IP报文超过告警阈值时，会产生告警提醒用户
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm threshold threshold