目录
前言
- 目前网络中以太网技术的应用非常广泛。然而,各种网络攻击的存在(例如针对ARP、DHCP等协议的攻击),不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要。
- 本节主要介绍常见的以太网交换安全技术:包括端口隔离、端口安全、MAC地址漂移检测
端口隔离
- 以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
- 大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源
- 如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN3里的主机可以访问VLAN2里的主机。 那么该如何解决这个问题呢?
端口隔离技术原理
端口隔离配置命令
1、使能端口隔离功能
缺省情况下,未使能端口隔离功能,如果不指定group-id参数,默认加入的端口隔离组是1
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]2、配置端口隔离模式
缺省情况下,端口隔离模式为L2,L2端口隔离模式为二层隔离三层互通,all端口隔离模式为二三层都隔离
[Huawei] port-isolate mode { l2 | all }3、配置端口单向隔离
am isolate 命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间的单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>配置举例
Switch配置如下
[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2如图所示:PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。
- 双向隔离:同一端口隔离组之间互相隔离,不同端口隔离组的接口之间不隔离。 端口隔离只针对同一设备上的端口隔离组成员
- 单向隔离:实现不同端口隔离组接口之间的隔离
端口隔离配置验证
1、通过display port-isolate group-number查看端口隔离组中的端口
[SW]display port-isolate group 2
The ports in isolate group 2:
GigabitEthernet0/0/1 GigabitEthernet0/0/2 MAC地址表项
MAC地址表项类型包括:
动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
MAC地址表项配置
1、配置静态MAC表项
指定的VLAN必须以及创建并且已经加入绑定的端口,指定的MAC地址必须是单播MAC地址,不能是组播或广播地址
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id
2、配置黑洞MAC表项
当设备收到目的MAC或源MAC为黑洞地址的报文时,会直接丢弃
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
3、配置动态MAC表项老化时间
[Huawei] mac-address aging-time {aging-time}
禁止MAC地址学习功能
1、关闭基于接口的MAC地址学习功
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]
缺省情况下,接口的MAC地址学习功能是使能的:
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。
当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。
2、关闭基于VLAN的MAC地址学习功能
[Huawei-vlan2] mac-address learning disable
缺省情况下,VLAN的MAC地址学习功能是使能的。
当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置
限制MAC地址学习数量
1、配置基于接口限制的MAC地址学习数量
缺省情况下,不限制MAC地址学习数。
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num
2、配置MAC地址数达到限制后,对报文采取的的动作
缺省情况下为丢弃
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }
3、配置MAC地址达到限制后是否进行警告
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }
缺省情况下,对超过MAC地址学习数限制的报文进行告警
4、配置基于VLAN限制MAC地址学习数
[Huawei-vlan2] mac-limit maximum max-num
缺省情况下,不限制MAC地址学习数
配置验证
执行dispaly mac-limit命令,查看地址学习限制规则是否配置成功
[Switch3]display mac-limit
MAC Limit is enabled
Total MAC Limit rule count : 2PORT VLAN/VSI/SI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
GE0/0/2 - - 100 - forward enable
- 20 - 100 - forward enable
基于接口的MAC地址学习限制
基于VLAN的MAC地址学习限制
端口安全
- 通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
- 端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
端口安全技术原理
安全MAC地址分为一下几类:
安全MAC地址通常与安全保护结合使用,常见的前前言安全保护的动作
Restrict:丢弃源MAC地址不存在的报文并上报告警。
Protect:只丢弃源MAC地址不存在的报文,不上报告警。
Shutdown:接口状态被置为error-down,并上报告警。
端口安全技术应用
端口安全配置命令
1、使能端口安全功能
缺省情况下,未使能端口安全功能
[Huawei-GigabitEthernet0/0/1] port-security enable
2、配置端口安全动态MAC地址学习数量限制
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
缺省情况下、接口学习的安全MAC地址数量限制为1
3、手工配置安全静态MAC地址表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id
4、配置端口安全保护动作
缺省情况下,端口安全保护动作为restrict
[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }
5、使能Sticky MAC功能
缺省情况下,接口未使能Sticky MAC功能。
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
配置接口Sticky MAC学习限制数量
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1
手动配置一条Sticky-mac表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id
端口安全配置举例:安全动态MAC
Switch1配置值如下
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown验证配置
- 执行命令display mac-address security ,查看动态安全MAC表项
[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1 - - GE0/0/3 security -
5489-98b1-7b30 1 - - GE0/0/1 security -
5489-9815-662b 1 - - GE0/0/2 security -
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3 MAC地址漂移检测
- 交换机支持MAC地址漂移检测机制,分为以下两种方式:
- 基于VLAN的MAC地址漂移检测
- 配置VLAN的MAC地址漂移检测功能可以检测指定VLAN的所有MAC地址是否发生漂移
- 当MAC地址发生漂移以后、可配置指定的动作,例如告警、阻断接口或阻断MAC地址
- 全局MAC地址漂移检测
- 该功能可以检测设备上的所有的MAC地址是否发生了漂移。
- 若发生漂移,设备会上报告警到网管系统
- 用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN
MAC地址漂移配置命令
1、配置接口学习MAC地址的优先级
缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。
[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id
2、配置禁止MAC地址漂移时报文的处理动作为丢弃
缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard
3、配置不允许相同的优先级的接口出现MAC地址漂移
缺省情况下,允许相同优先级的接口发生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping
4、配置MAC地址漂移检测功能
缺省情况下,已经配置了为交换机上所有VLAN进行MAC地址漂移监测的功能
[Huawei-vlan2] mac-address flapping detection
5、配置MAC地址漂移检测的白名单
缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。
[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
6、配置发生漂移后接口的处理动作
缺省情况下,没有配置接口MAC地址票以后的处理动作
[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }
7、配置MAC地址漂移检测功能
[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }
MAC地址漂移配置举例
1、在SWitch与server相连的接口
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3GE0/0/1上配置MAC地址学习优先级高于其他接口,此优先级默认值为0。
2、在Switch上配置MAC地址漂移检测功能,并配置接口MAC地址漂移后的处理动作。
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500配置验证
配置完成后,当Switch的接口GE0/0/1的MAC地址漂移到GE0/0/2后。接口Ge0/0/2关闭
使用displsy mac-address flapping record
Switch2] display mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
---------------------------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36 1 5489-9815-662b GE0/0/1 GE0/0/2(D) 83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1