网络设备处理的流量分类
数据层面:提供流量转发功能
控制层面:构建流量转发的控制结构
管理层面:提供设备管理功能
1、数据层面 Data plane
可以理解为传过交换机、路由器、防火墙等转发设备的流量称之为数据层面的流量,转发该流量一般都是硬件实现的并且可实现线速交换。cpu做转发时不会解开包结构查看里面内容,通常只是查看包头信息做转发,所以不会太多消耗cpu性能。重点强调,流量目的ip并不是该设备,而是传过该设备的流量。date plane traffic should never have destination IP addresses that belong to any networking devices(routes switch)
2、控制层面 Control Plane
动态路由协议,网络流量,主要需要cpu来处理。具体为路由协议、信令、链路状态协议(cdp)、其他控制协议。动态构建网络拓扑,以及控制数据如何转发。
3、管理层面 Management Plane
telnet SSH snmp类似这种管理类的应用。管理流量被网络设备接收,用于管理(维护、监控)网络设备使用,被动探测,安全的保护管理层面是非常重要的。如果管理层面被攻破,就会导致未授权的访问,以及修改设备配置。
数据层面安全
路由器
1、设备攻击
2、链路泛洪造成链路拥堵
3、传输会话劫持
交换机
1、MAC地址欺骗
2、ip地址欺骗
3、DHCP欺骗
4、ARP欺骗
5、未授权的网络访问
如果交换机数据层面受到攻击行为可能会影响数据私密性、数据完整性、数据或进程的可用性。根据OSI模型来看如果底层中的Date link层被攻破那么上层应用的安全性就更无法保障了。相对来说二层受攻击点有很多,比如mac、DHCP欺骗等。
未使用的端口应该划分到无业务使用的vlanID中去,并且把端口属性更改成access模式,并且关闭端口自动trunking模式。不要把接入端口划入到native vlan中。使用BPDU Guard、Root Guard、开启端口安全策略、静态CAM表(二层转发查询使用的表有MAC信息)。
CAM:作用是记录交换机收到的客户端请求来的mac地址信息,可以进行快速的二层转发。与mac地址表作用类似,快速转发不经过cpu查询mac表,直接查询CAM表即可。
控制层面安全
路由器
1、路由协议欺骗
2、控制层面泛洪,大量建立邻居
交换机
1、STP毒化
2、VTP欺骗
3、控制层面泛洪
企业级网络模型
接入层
1、vlan划分
2、2层、3层防欺骗机制
3、设备加固
4、设备认证
5、增加ACL列表 FPM IPS安全设备
6、做QOS流量监控
7、传输流量导出
汇聚层
1、路由协议加固
2、传输流量导出监控
核心层
1、设备加固
2、路由协议认证
Private VLAN基础介绍
PVLANs允许提供一个VLAN内的粗犷(要么放行/要么不允许放行)的控制限制连接。
一个vlan可分为逻辑部分,它有特定的连接需求。primary VLAN包含多个secondary VLAN。次要vlan可以创建主机组或者单独主机的互通和隔离关系。
Private VLAN共有三种类型:1、主要vlan、次要隔离vlan、次要连接vlan
同样接口类型也分为三类:
Promiscuous 杂合接口所有接口均可互通
community A三个接口均可互通
community B三个接口均可互通
但是AB两组接口不可互通
isolated中的三个接口不能互通
Pvlan技术可以跨交换机应用,在配置逻辑上是先创建主vlan(primary vlan)再创建次vlan(community vlan)然后再调用到接口上应用。
标准拓扑模型
配置PVLAN前提是需要把VTP配置成transparent(透明模式)才可以启用PVLAN特性。
PVLAN 并不是所有交换机都支持的,至少也要在3560以上,但是大多数的交换机可以配置“PVLAN边界”
PVLAN边界也被称为“被保护的端口”
1、直接在接口下输入switchport protected即可。本地有效,跨交换机失效。
2、在交换机端口上如果敲入protected ports命令,即该接口无法与其他protected属性的接口进行流量交互。但是与没有敲入protected的端口可以互相通信。
3、如果想让两个“被保护”的端口通信,则必须需要通过三层路由设备转发该流量才可互通。
经过试验证明在PVLAN环境下,原本互通的community下输入switchport protected 依然可以互通。