目次
序文
- 現在、ネットワークにおけるイーサネット技術の応用は非常に広範囲にわたっています。しかし、さまざまなネットワーク攻撃(ARP、DHCP、その他のプロトコルに対する攻撃など)の存在は、正当なユーザーがネットワークリソースに正常にアクセスすることを妨げるだけでなく、ネットワーク情報セキュリティに重大な脅威をもたらすため、イーサネットスイッチングのセキュリティは重要です。ますます重要になっています。
- このセクションでは主に、ポート分離、ポート セキュリティ、MAC アドレス フラッピング検出などの一般的なイーサネット スイッチング セキュリティ テクノロジを紹介します。
ポートの分離
- イーサネット スイッチング ネットワークでパケット間のレイヤ 2 分離を実装するには、通常、ユーザーは異なる VLAN に異なるポートを追加して、レイヤ 2 ブロードキャスト ドメイン分離を実装します。
- 大規模ネットワークでは、さまざまな種類のビジネス要件があり、パケットのレイヤー 2 分離は VLAN を通じてのみ実装されるため、限られた VLAN リソースが無駄になります。
- 次の図に示すように、特定のビジネス要件により、PC1 と PC2 は同じ VLAN に属していますが、レイヤー 2 での通信は許可しない (ただし、レイヤー 3 での通信は許可する) 必要があり、PC1 と PC3 は通信できません。どのような状況でも相互にアクセスできますが、VLAN3 では VLAN2 のホストはホストにアクセスできます。では、この問題をどうやって解決すればいいのでしょうか?
ポート分離技術の原理
ポート分離設定コマンド
1.ポート分離機能を有効にする
デフォルトでは、ポート分離機能は無効になっており、group-id パラメータが指定されていない場合、デフォルトのポート分離グループは 1 です。
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]
2.ポート分離モードを設定する
デフォルトでは、ポート分離モードは L2 で、L2 ポート分離モードはレイヤ 2 分離とレイヤ 3 相互運用性、全ポート分離モードはレイヤ 2 とレイヤ 3 分離です。
[Huawei] port-isolate mode { l2 | all }
3.ポートの一方向分離を構成する
am isolate コマンドは、現在のインターフェイスと指定されたインターフェイス間の単方向分離を設定するために使用されます。インターフェイス A とインターフェイス B で単方向分離が設定されると、インターフェイス A から送信されたパケットはインターフェイス B に到達できなくなりますが、インターフェイス B から送信されたパケットはインターフェイス A に到達できます。デフォルトでは、ポートの一方向分離は設定されていません。
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
構成例
スイッチ構成は以下の通り
[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2
図に示すように、PC1、PC2、および PC3 は VLAN 2 に属しています。ポート分離を構成すると、PC3 は PC1 および PC2 と通信できますが、PC1 および PC2 は通信できません。
- 双方向分離:同じポート分離グループは相互に分離され、異なるポート分離グループのインターフェイスは分離されません。ポート分離は、同じデバイス上のポート分離グループのメンバーのみに適用されます。
- 一方向分離: 異なるポート分離グループのインターフェイス間の分離を実現します。
ポート分離構成の検証
1. display port-isolate group-number コマンドを使用して、ポート分離グループ内のポートを表示します。
[SW]display port-isolate group 2
The ports in isolate group 2:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
MACアドレス入力
MAC アドレス エントリ タイプには次のものがあります。
動的 MAC アドレス エントリ:パケット内の送信元 MAC アドレスを通じてインターフェイスによって学習され、エントリはエージングされる可能性があります。システムがリセットされるか、インターフェイス ボードがホットプラグされるか、インターフェイス ボードがリセットされると、動的エントリは失われます。
静的 MAC アドレス エントリ:ユーザーが手動で設定し、各インターフェイス ボードに配信されます。エントリは期限切れになりません。システムがリセットされた後、インターフェイス ボードがホットプラグされた後、またはインターフェイス ボードがリセットされた後でも、保存されたエントリは失われません。インターフェイスが MAC アドレスに静的にバインドされると、他のインターフェイスが受信した送信元 MAC アドレスを持つパケットは破棄されます。
ブラックホール MAC アドレス エントリ:ユーザーによって手動で設定され、各インターフェイス ボードに配信されます。エントリは期限切れになりません。ブラックホール MAC アドレスが設定されると、この MAC アドレスの送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットは破棄されます。
MACアドレスエントリの設定
1. 静的 MAC エントリを構成する
指定した VLAN を作成してバインドされたポートに参加させる必要があり、指定した MAC アドレスはマルチキャスト アドレスやブロードキャスト アドレスではなく、ユニキャスト MAC アドレスである必要があります。
[Huawei] mac-address static mac-address インターフェイス タイプ インターフェイス番号 vlan vlan-id
2. ブラック ホール MAC エントリを構成する
デバイスは、宛先 MAC アドレスまたは送信元 MAC アドレスがブラック ホール アドレスであるパケットを受信すると、そのパケットを直接破棄します。
[ Huawei ] mac-アドレスブラックホール mac-アドレス[ vlan vlan - id ]
3. 動的 MAC エントリのエージング タイムを設定する
[ Huawei ] mac -アドレス エージング-時間 {エージング-時間}
MACアドレス学習機能を無効にする
1. インターフェースベースのMACアドレス学習機能を無効にする
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -アドレス学習の無効化[ アクション{ 破棄|無効化] 進む} ]
デフォルトでは、インターフェイスの MAC アドレス学習機能が有効になっています。
MAC アドレス学習機能を無効にするデフォルトのアクションは、転送、つまりパケットを転送することです。
設定されたアクションが破棄の場合、パケットの送信元 MAC アドレスが一致し、インターフェイスとMAC アドレスが MAC アドレス エントリと一致すると、パケットは転送されます。インターフェイスと MAC アドレスが MAC アドレス エントリと一致しない場合、パケットは破棄されます。
2. VLANによるMACアドレス学習機能をオフにする
[ Huawei - vlan2 ] mac -アドレス学習の無効化
デフォルトでは、VLAN の MAC アドレス学習機能が有効になっています。
インターフェイス単位のMACアドレス学習禁止機能とVLAN単位のMACアドレス学習禁止機能を同時に設定する場合、インターフェイス単位の優先設定よりもVLAN単位の優先順位が高くなります。
学習するMACアドレスの数を制限する
1.インターフェイスの制限に基づいて学習したMACアドレスの数を設定します
。デフォルトでは、学習したMACアドレスの数は制限されていません。
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -制限最大値 max - num
2.設定されたMACアドレスの数が制限に達すると、パケットのデフォルトのアクションはパケットを
破棄することです
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -制限アクション{ 破棄| 転送}
3. MACの設定アドレスが制限に達した場合に警告を発行するかどうか
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac - limit warning { disable | enable }
デフォルトでは、MACアドレス学習数の制限を超えたパケットに対してアラームが発行されます
4 . VLANベースの制限MACアドレスを設定する 学習数
[ Huawei - vlan2 ] mac - limit minimum max - num
デフォルトでは、学習MACアドレスの数は制限されていません
構成の検証
dispaly mac-limit コマンドを実行して、アドレス学習制限ルールが正常に設定されているかどうかを確認します。
[ Switch3 ] display mac - limit
MAC 制限が有効ですMAC 制限ルールの
総数: 2ポート VLAN / VSI / SI SLOT 最大レート( ms ) アクション アラーム
------------------------------------ --------------------------------------
GE0 / 0 / 2 - - 100 - 前方イネーブル
- 20 - 100 - forward イネーブル
インターフェイスベースのMACアドレス学習制限VLAN
ベースのMACアドレス学習制限
ポートセキュリティ
- スイッチの特定のインターフェイスにポート セキュリティを展開することにより、インターフェイスによって学習される MAC アドレスの数を制限し、制限を超えた場合の罰則を設定できます。
- ポート セキュリティは、インターフェイスによって学習されたダイナミック MAC アドレスをセキュア MAC アドレス(セキュア ダイナミック MAC、セキュア スタティック MAC、および StickyMAC を含む)に変換して、権限のないユーザーがインターフェイスを介してスイッチと通信するのを防ぎ、デバイスのセキュリティを強化します。
ポートセキュリティ技術の原理
セキュア MAC アドレスは次のカテゴリに分類されます。
セキュリティ MAC アドレスは通常、セキュリティ保護と組み合わせて使用され、セキュリティ保護の前の一般的なアクションと組み合わせて使用されます。
制限: 存在しない送信元 MAC アドレスを持つパケットを破棄し、アラームを報告します。
保護: 存在しない送信元 MAC アドレスを持つパケットのみを破棄し、アラームは報告しません。
シャットダウン: インターフェイスのステータスはエラーダウンに設定され、アラームが報告されます。
ポートセキュリティ技術の応用
ポートセキュリティ設定コマンド
1. ポートセキュリティ機能を有効にする
デフォルトでは、ポートセキュリティは無効になっています
[ Huawei - GigabitEthernet0 / 0 / 1 ] ポート-セキュリティ有効化
2. ポートセキュリティの動的MACアドレス学習数の制限を設定します。
[ Huawei - GigabitEthernet0 / 0 / 1 ] port - security max - mac - num max -numberデフォルトでは、インターフェイスによって学習されるセキュアMAC
アドレスの数は1に制限されています
3. セキュアな静的 MAC アドレス エントリを手動で構成する
[ Huawei - GigabitEthernet0 / 0 / 1 ] ポート-セキュリティ MAC -アドレス MAC -アドレス VLAN VLAN - ID
4. ポートセキュリティ保護アクションの設定
デフォルトでは、ポートセキュリティ保護アクションは制限されています。
[Huawei-GigabitEthernet0/0/1] ポートセキュリティ保護アクション { 保護 | 制限 | シャットダウン }
5.スティッキーMAC機能を有効にする
デフォルトでは、スティッキーMAC機能はインターフェイスで無効になっています。
[ Huawei - GigabitEthernet0 / 0 / 1 ] port - security mac - address Stickyインターフェイス
の設定 Sticky MAC学習制限番号
[ Huawei - GigabitEthernet0 / 0 / 1 ] port - security max - mac - num max -numberインターフェイス Sticky MAC機能の後
が有効になっている場合、デフォルトでは、インターフェイスによって学習されるMACアドレスの数は1に制限されています。 Sticky - mac エントリを手動で設定します[
Huawei - GigabitEthernet0 / 0 / 1 ] ポート-セキュリティ MAC -アドレス スティッキー MAC -アドレス VLAN VLAN - ID
ポートセキュリティの設定例: 安全な動的 MAC アドレス
Switch1配置值如下
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown
構成を確認する
- 動的セキュリティ MAC エントリを表示するには、display mac-address security コマンドを実行します。
[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1 - - GE0/0/3 security -
5489-98b1-7b30 1 - - GE0/0/1 security -
5489-9815-662b 1 - - GE0/0/2 security -
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
MACアドレスのフラッピング検出
- スイッチは、次の 2 つの方法に分けられる MAC アドレス フラッピング検出メカニズムをサポートしています。
- VLANベースのMACアドレスのフラッピング検出
- VLAN の MAC アドレスフラッピング検出機能を設定して、指定した VLAN 内のすべての MAC アドレスがフラッピングしているかどうかを検出します。
- MAC アドレスがドリフトした場合、アラーム、インターフェイスのブロック、MAC アドレスのブロックなどの特定のアクションを設定できます。
- グローバルMACアドレスのフラッピング検出
- この機能は、デバイス上のすべての MAC アドレスがドリフトしたかどうかを検出できます。
- ドリフトが発生した場合、デバイスはネットワーク管理システムにアラームを報告します。
- ユーザーは、インターフェイスのシャットダウンや VLAN の終了など、ドリフト発生後の処理アクションを指定することもできます。
MAC アドレス フラッピング コンフィギュレーション コマンド
1. インターフェイス上の MAC アドレス学習の優先順位を設定します。
デフォルトでは、インターフェイス上の MAC アドレス学習の優先順位は 0 で、値が大きいほど優先順位も高くなります。
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -学習優先順位- ID
2. MACアドレスフラッピング破棄禁止時のパケット処理動作を設定する
デフォルトでは、MAC アドレスのフラッピングが禁止されている場合のパケットの処理アクションは転送です。
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -学習優先度フラッピング-防御アクション破棄
3. この設定では、同じ優先順位を持つインターフェイス上での MAC アドレスのフラッピングは許可されていません。
デフォルトでは、MAC アドレスのフラッピングは同じ優先順位のインターフェイスで許可されます。
[ Huawei ] mac を元に戻す-学習優先順位- ID 許可-フラッピング
4. MACアドレスフラッピング検出機能の設定
デフォルトでは、スイッチ上のすべての VLAN に対して MAC アドレスのフラッピングを検出する機能が設定されています。
[ Huawei - vlan2 ] mac -アドレスフラッピング検出
5. MAC アドレスのフラッピング検出用のホワイトリストを構成する
デフォルトでは、MAC アドレスのフラッピング検出用の VLAN ホワイトリストは設定されていません。
[ Huawei ] MACアドレスフラッピング検出 exclude vlan { vlan - id1 [ to vlan - id2 ] } &< 1 - 10 >
6. 設定がドリフトした後のインターフェースの処理動作
デフォルトでは、インターフェイス MAC アドレス チケット後の処理アクションは設定されていません
[ Huawei - GigabitEthernet0 / 0 / 1 ] mac -アドレス フラッピング アクション{ quit - vlan | 0 / 1 ] エラー-ダウン}
7. MACアドレスフラッピング検出機能の設定
[ Huawei - vlan2 ] ループ検出eth - loop { [ ブロック-mac ] ブロック時間ブロック時間リトライ回数リトライ回数| _ _ アラーム-のみ}
MACアドレスフラッピングの設定例
1. SWitch上のサーバーに接続されるインターフェース
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3
GE0/0/1 に設定された MAC アドレス学習優先度は、他のインターフェイスよりも高く、この優先度のデフォルト値は 0 です。
2. 本装置に MAC アドレスフラッピング検出機能を設定し、インターフェース MAC アドレスフラッピング後の処理動作を設定します。
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500
構成の検証
設定が完了すると、スイッチ上の GE0/0/1 の MAC アドレスは GE0/0/2 に移行されます。インターフェイス Ge0/0/2 が閉じられています
使用displsy mac-address flapping record
Switch2] display mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
---------------------------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36 1 5489-9815-662b GE0/0/1 GE0/0/2(D) 83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1