下载文档原格式
华为交换机的安全准入协议(一)华为交换机的安全准入协议1. 引言该协议旨在确保华为交换机的安全准入,并规定双方在使用华为交换机时需要遵守的安全规则和标准。
2. 范围该协议适用于所有使用华为交换机的相关方,包括但不限于以下人员:•公司雇员•第三方供应商•承包商•其他希望使用华为交换机的个人或组织3. 安全准入要求以下是使用华为交换机时需遵守的安全准入要求:身份验证•必须使用唯一的个人账户进行身份验证,禁止共享账户和密码。
密码安全•密码必须遵循公司的密码策略并定期更换。
•禁止使用弱密码,包括但不限于生日、常用字母组合等。
•密码不得以明文形式传输或存储。
服务及端口访问控制•禁止通过默认或弱口令访问交换机。
•仅允许授权人员访问相关服务和端口。
•禁止非法修改、删除或关闭任何安全相关的服务或端口。
漏洞管理•及时修补或升级交换机上的安全漏洞,以确保系统的安全性。
•及时应用官方发布的安全补丁和软件更新。
日志记录•启用必要的日志记录功能,并定期检查和审查日志信息。
•禁止删除或篡改日志文件。
4. 安全违规处理对于发生安全违规行为的相关方,将按照公司的安全政策和程序进行处理,包括但不限于:•警告通知•暂停或取消相关方的使用权限•追究相关方的法律责任5. 附则该协议的内容在必要时可进行修改和更新,相关方将被通知并需要重新确认接受修改后的协议内容。
6. 生效与解释该协议自双方签署之日起生效,并适用于所有使用华为交换机的相关方。
在协议执行过程中产生的任何争议,双方应友好协商解决;若协商不成,则提交有管辖权的法院进行裁决。
以上为按照要求所写的华为交换机的安全准入协议模板,如有需要可根据实际情况进行修改。
ARP防攻击配置下表列出了本章所包含的内容。
如果您需要……请阅读……了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置了解ARP报文防攻击的原理和配置ARP报文防攻击配置了解ARP协议防攻击综合配置举例ARP防攻击配置举例3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制,维护起来耗费人力,且极易受到攻击。
对于静态配置IP地址的网络,目前只能通过配置静态ARP方式防止ARP表项被非法修改,但是配置繁琐,需要花费大量人力去维护,极不方便;对于动态配置IP地址的网络,攻击者通过伪造其他用户发出的ARP报文,篡改网关设备上的用户ARP表项,可以造成其他合法用户的网络中断。
图3-1 ARP地址欺骗攻击示意图如图3-1所示,A为合法用户,通过交换机G与外界通讯:攻击者B通过伪造A 的ARP报文,使得G设备上A的ARP表项中的相应信息被修改,导致A与G的通讯失败。
对于动态ARP地址欺骗攻击方式,S9500系列交换机可通过以下方法进行防御。
1. 固定MAC地址对于动态ARP的配置方式,交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改,直到此ARP表项老化之后才允许此ARP表项更新MAC地址,以此来确保合法用户的ARP表项不被修改。
固定MAC有两种方式:Fixed-mac和Fixed-all。
Fixed-mac方式;不允许通过ARP学习对MAC地址进行修改,但允许对VLAN和端口信息进行修改。
这种方式适用于静态配置IP地址,但网络存在冗余链路的情况。
当链路切换时,ARP表项中的端口信息可以快速改变。
Fixed-all方式;对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。
这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。
交换机安全防范技术在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严峻,影响越来越猛烈。
交换机作为局域网信息交换的主要设备,特殊是核心、汇聚交换机承载着极高的数据流量,在突发特别数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些平安防范技术,网络管理人员应当依据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的平安防范技术和配置方法。
以下您将学到广播风暴掌握技术、MAC地址掌握技术、DHCP掌握技术及ACL技术。
广播风暴掌握技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避开网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省状况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省状况下,系统全部VLAN不做广播风暴抑制,即max-ratio 值为100%。
MAC地址掌握技术以太网交换机可以利用MAC地址学习功能猎取与某端口相连的网段上各网络设备的MAC 地址。
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
Experience Exchange经验交流DCW209数字通信世界2021.040 引言交换机MAC 泛洪攻击是利用工具不断大量伪造MAC 地址,利用交换机学习MAC 地址没有安全验证机制这一漏洞,攻击者利用虚假物理地址欺骗交换机,交换机的MAC 地址表被填满后,交换机将以广播的方式工作。
攻击者可在网络内任何一台主机上抓取数据包,通过对数据包解密从而窃取重要信息,从而引发交换机的MAC 泛洪攻击事件。
交换机开启端口安全可以在很大程度上防范MAC 泛洪攻击。
本文利用VMware Workstation 和eNSP 工具模拟窃取信息并通过给出安全防御方法。
1 实验内容1.1 实验目标了解交换机MAC 洪泛攻击的原理,并能对其进行有效的防御,掌握攻击步骤和防御方法并能应用到真实环境中。
1.2 实验场景及任务描述某公司准备搭建FTP 服务,用于内部员工进行文件上传和下载等工作需要。
出于安全方面考虑要求设置FTP 服务的用户名和密码。
作为网络安全管理员的你,提出了安全不仅是设置用户名和密码访问FTP 服务就可以解决的,还需要对内部网络设备安全进行配置。
任务一:在BT5上使用攻击工具macof 对网络开展MAC 泛洪攻击,并利用协议分析软件Wireshark 捕获网络中明文传输的FTP 服务器的登录用户名和密码。
任务二:对交换机开启端口安全,阻止攻击机通过其级联端口与交换机通信,防御攻击。
1.2.1 实验拓扑图,见下图1。
图1 实验拓扑图基于华为ENSP 和Vmware Workstation 软件模拟MAC洪泛攻击与防御的实验综述报告董良杰(安徽城市管理职业学院,安徽 合肥 230050)摘要:通过VMware Workstation 模拟操作系统、华为 eNSP 模拟网络环境组成的模拟环境对学生直观的讲解攻击的过程和如何防御,加深学生对交换机原理的理解。
同时可以有效解决实验室设备数量功能等受限的问题,方便学生随时学习掌握。
华为网络安全解决方案
华为网络安全解决方案(以下简称华为解决方案)是一套综合性的网络安全解决方案,旨在帮助客户提供全面的网络安全防护和威胁应对能力。
华为解决方案包括以下几方面内容:
1. 安全感知与情报分析:华为解决方案通过实时监测和感知网络中的异常活动,并进行全面的情报分析,帮助客户及时发现和识别潜在的网络威胁。
2. 边界防护:华为解决方案提供了多层次的边界防护机制,包括防火墙、入侵检测与防御系统(IDS/IPS)、虚拟专用网(VPN)等,以保护客户网络免受外部攻击和未经授权的访问。
3. 数据中心安全:华为解决方案通过采用安全访问控制、云安全防护、虚拟化环境安全等技术手段,确保客户数据中心的安全性和可靠性。
4. 终端安全:华为解决方案提供了终端安全管理机制,包括终端防火墙、反病毒软件、加密通讯等,以提供全面的终端安全保护。
5. 应用安全:华为解决方案通过应用层面的安全防护,包括访问控制、流量控制、应用识别等,保护客户的关键业务应用免受攻击和滥用。
6. 安全管理与运营:华为解决方案提供了全面的安全管理和运
营机制,包括安全事件管理、安全策略管理、日志审计等,帮助客户实现安全运营和快速响应网络安全事件。
值得注意的是,华为解决方案提供了高度灵活和可扩展的架构,可根据客户的具体需求和规模进行定制化配置和部署。
通过华为解决方案,客户可以大大提高网络的安全性和稳定性,降低网络安全风险,并有效应对各类网络威胁。
华为交换机测试方案1. 引言华为交换机是一种用于构建企业网络的关键设备,其功能涵盖了数据转发、安全防护、流量控制等多个方面。
为了确保华为交换机的性能稳定和安全可靠,需要进行一系列的测试工作。
本文档旨在介绍华为交换机测试方案,包括测试目标、测试环境、测试策略和测试方法。
2. 测试目标华为交换机测试的主要目标是评估其性能、稳定性和安全性,确保其可以满足企业网络的需求。
具体的测试目标包括: - 性能测试:评估华为交换机的数据转发能力、吞吐量和延迟等性能指标。
- 稳定性测试:验证华为交换机在长时间运行和高负载情况下的稳定性。
- 安全性测试:测试华为交换机的安全功能,如访问控制、防攻击和数据加密等。
3. 测试环境为了进行有效的测试,我们需要搭建一个符合实际情况的测试环境。
测试环境应包括以下组成部分: - 华为交换机:选取适合测试的华为交换机设备,并确保其与实际生产环境的硬件和软件配置相似。
- 测试服务器:用于模拟网络流量和执行性能测试的服务器,建议使用高性能的服务器硬件。
- 测试工具:选择适合的测试工具,如Spirent TestCenter、Ixia和Wireshark等,用于生成流量和分析测试结果。
- 网络设备:搭建适当数量的网络设备,如路由器和服务器,以模拟真实的网络环境。
4. 测试策略华为交换机测试需要制定合理的测试策略,以确保全面覆盖各项测试目标。
以下是几个重要的测试策略建议: - 冒烟测试:在进行详细测试之前,首先进行冒烟测试以验证华为交换机是否基本可用。
- 压力测试:通过增加并发用户和流量量,测试华为交换机在高负载情况下的性能和稳定性。
- 安全测试:通过模拟攻击和验证访问控制策略,测试华为交换机的安全功能。
- 协议测试:验证华为交换机对不同网络协议的兼容性和性能。
5. 测试方法在进行具体的测试时,我们需要选择合适的测试方法和工具。
以下是几个常用的华为交换机测试方法:5.1 性能测试性能测试主要用于评估华为交换机的数据转发能力、吞吐量和延迟等性能指标。
预防STP环路的技术措施通过下述办法,可以有效的消除STP形成环路的可能,并且也有利于STP环路的排障。
1.1 消除核心交换机之间的环路局域网两台核心之间应保持LOOP FREE结构,对于华为交换机组成的局域网,应将两条同一板卡的光纤通过链路捆绑的方式形成一条逻辑上的链路(最好只将2条千兆线物理链路进行捆绑),捆绑之后的链路采用Trunk方式连接。
为了避免单一板卡出现故障导致通信失败,可以采用两种方式进行防范。
一,在另外的一块板卡上在设置一条Trunk链路,可以采用2端口捆绑后同另外一台设备的相应捆绑端口互联,或者单个物理端口同另外设备的单个物理端口互联,同时在两台交换机之间运行RSTP协议,消除物理环路。
二,同样按照方法一进行配置,但是不进行连线,作为冷备链路,当正常链路发生故障时,手工进行切换。
考虑到stp 协议发生故障时很难快速定位,建议采用方法二进行设置。
1.2 强制根、备份根的位置通过RSTP协议进行竞选根桥,将无法在RSTP出现故障时及时找出根桥。
因此,应当人为制定RSTP根的位置,要求指定其中一台核心交换机作为局域网的RSTP根网桥,另外一台作为备份根桥。
具体命令:在系统模式下进行设置stp root primary(设置此交换机为主根)stp root secondary(设置此交换机为备根)1.3 主根设置在主核心上为保证交换机网Spanning Tree的稳固,主根需通过手工强制配置在核心交换机上。
同时,为便于Spanning Tree的维护管理,全部主根应建立在第一台核心交换机上,全部备份根建立在第二台核心交换机上。
1.4 配置合适的双工通讯模式下表为交换机和服务器网卡工作模式匹配结果:在实际连接时应主要采用1、4方式设置,优先设置方式为第4种方式,此种方式也是传输效率最高的一种方式。
如果在第4种方式设置不成功的情况下,可以采用第1种方式。
若1、4两种方式有问题,可视具体情况选择其它方式。
设备详细技术参数要求1. 核心交换机设备技术要求功能大类技术要求及指标整机背板容量≥2.4Tbps*交换容量≥1.44Tbps*包转发率≥860Mpps业务槽位≥6支持独立双主控整机万兆端口密度>=72个(除了用于堆叠的万兆接口)支持全分布式转发支持无源背板支持风扇冗余,支持风扇模块分区管理,支持风扇自动调速提供整机高度数据电源要求支持分区供电,颗粒化电源,支持N+N电源冗余(AC和DC均支持)模块要求支持标准SFP, XFP, SFP+模块(支持标准SFP, XFP)万兆单板端口密度≥12千兆单板光接口密度>=48堆叠支持主控板堆叠,实配硬件用于堆叠,不占用业务槽位堆叠带宽>=256G单板要求要求所有配置单板能进行IPV4,IPV6,MPLS VPN线速转发二层功能支持整机MAC地址>128K;支持静态MAC;支持DHCP Client, DHCP Server,DHCP Relay;支持Option 82;支持4K VLAN支持1:1,N:1 VLAN mapping支持端口VLAN,协议VLAN,IP子网VLAN;支持Super VLAN;支持Voice VLAN;支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离支持端口聚合,支持1:1, N:1端口镜像;支持流镜像;支持远程端口镜像(RSPAN);支持ERSPAN, 通过GRE隧道实现跨域远程镜像;支持VCT,端口环路检测路由特性路由表≥128K支持静态路由ARP≥16K支持RIP V1、V2, OSPF, IS-IS,BGP支持IP FRR支持路由协议多实例支持GR for OSPF/IS-IS/BGP支持策略路由*所有实际配置板卡支持MPLS分布式处理,全线速转发支持MPLS TE支持L3 VPNQoS ACL≥32K支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;支持双向CAR;提供广播风暴抑制功能;支持WRED;安全性支持DHCP Snooping trust, 防止私设DHCP服务器;支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击;支持BPDU guard, Root guard。
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
10安全关于本章本章主要介绍安全管理的相关概念和相关配置,主要包括:端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
10.2 用户静态绑定用户静态绑定信息由用户手工配置,支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。
S2700SI系列交换机不支持此功能。
10.3 AAA配置AAA是Authentication,Authorization,Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
在S2700系列交换机中仅是支持用户管理功能。
10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。
10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置,使用MAC地址认证的特性。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通,最常用的就是同一个小组成员两两之间不能二层互通,却可以通过访问公共资源。
如打印机、服务器等。
10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。
背景信息●同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。
●交换机支持64个隔离组,编号为1~64。
操作步骤●配置隔离模式说明●缺省情况下,端口隔离模式为L2(二层隔离三层互通)。
●隔离模式选择应用后,会把双向隔离和单向隔离的配置都应用于该模式。
●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。
●S2700(除S2700-52P-PWR-EI)系列交换机不支持此功能。
华为安全策略随着信息技术的快速发展,网络安全问题日益凸显。
华为作为全球领先的信息通信技术解决方案供应商,一直重视网络安全,并致力于为全球用户提供安全、可靠的产品和服务。
为保护用户隐私和数据安全,华为积极运用先进的安全技术和策略,不断提升产品和系统的安全性。
下面将介绍华为的安全策略。
一、技术安全策略1. 安全设计与开发:华为产品在设计和开发过程中注重安全性原则,通过安全编码、安全测试等措施,确保产品从设计上具备较高的安全性,并尽量避免安全漏洞的产生。
2. 安全认证与审计:华为积极主动参与各种安全认证和审计,如ISO27001信息安全管理体系认证、CC国际认证等。
通过接受第三方权威机构的安全审计,确保产品和系统符合国际安全标准。
3. 安全漏洞应急响应:华为设立了专门的漏洞响应团队,及时跟踪国内外安全漏洞信息,迅速发布漏洞修复补丁,保护用户免受潜在威胁。
4. 网络防御体系:华为提供综合的网络安全解决方案,包括边界防火墙、入侵检测与防御系统、DDoS防护系统等,有效防御各类网络攻击,保护用户网络环境的安全。
二、组织安全策略1. 安全责任分工:华为明确安全工作的责任分工,设立专门的安全团队,负责安全策略的制定、安全培训的组织和安全事件的处理等,确保安全工作的专业性和高效性。
2. 安全意识培训:华为重视员工的安全意识培养,通过定期的安全培训、安全知识竞赛等方式,提高员工对安全问题的认识和应对能力。
3. 管理制度建设:华为建立完善的安全管理制度,包括安全政策、安全规范、安全操作手册等,规范员工的安全行为,确保安全策略得以有效执行。
4. 安全风险评估:华为定期进行安全风险评估,识别和分析潜在的安全风险,并提出相应的风险控制措施,及时阻止安全事件的发生。
三、合作伙伴安全策略1. 安全合作伙伴选择:华为在选择合作伙伴时,考虑其安全能力和信誉度,确保合作伙伴能够满足相应的安全要求,并签订保密协议保护用户数据安全。
2. 供应链安全管理:华为实施严格的供应链安全管理,对供应商进行安全评估,确保其产品和服务的安全性,并加强对关键供应商的监督和管理。
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。
交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。
为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。
以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。
广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。
当百分比为100时,表示不对该端口进行广播风暴抑制。
缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。
在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。
缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。
MAC地址控制技术以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。
对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。
如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。
MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。
TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
1.设置最多可学习到的MAC地址数通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。
如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。
缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
在以太网端口视图下进行下列配置:mac-address max-mac-count count2.设置系统MAC地址老化时间设置合适的老化时间可以有效实现MAC地址老化的功能。
用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。
如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。
如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。
一般情况下,推荐使用老化时间age的缺省值300秒。
在系统视图下进行下列配置: mac-address timer { aging age | no-aging }使用参数no-aging时表示不对MAC地址表项进行老化。
3.设置MAC地址表的老化时间这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。
在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。
如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。
此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。
缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。
在系统视图下进行下列配置:lock-port mac-aging { age-time | no-age }DHCP控制技术DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。
但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。
1.三层交换机的DHCP Relay技术早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。
因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。
DHCP Relay的引入解决了这一难题:局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。
这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。
DHCP Relay配置包括:(1)配置IP 地址为了提高可靠性,可以在一个网段设置主、备DHCP Server。
主、备DHCP Server构成了一个DHCP Server组。
可以通过下面的命令指定主、备DHCP Server 的IP地址。
在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ](2)配置VLAN接口对应的组在VLAN接口视图下进行下列配置:dhcp-server groupNo(3)使能/禁止VLAN 接口上的DHCP安全特性使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。
在VLAN接口视图下进行下列配置:address-check enable(4)配置用户地址表项为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。
如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的以太网交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC 地址的绑定请求。
在系统视图下进行下列配置:dhcp-security static ip_address mac_address2.其它地址管理技术在二层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。
其中信任端口连接DHCP服务器或其他交换机的端口;不信任端口连接用户或网络。
不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。
(1)开启/关闭交换机DHCP-Snooping 功能缺省情况下,以太网交换机的DHCP-Snooping功能处于关闭状态。
在系统视图下进行下列配置,启用DHCP-Snooping功能:dhcp-snooping(2)配置端口为信任端口缺省情况下,交换机的端口均为不信任端口。
在以太网端口视图下进行下列配置:dhcp-snooping trust(3配置VLAN接口通过DHCP方式获取IP地址在VLAN 接口视图下进行下列配置:ip address dhcp-alloc(4)访问管理配置——配置端口/IP地址/MAC地址的绑定可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。
ACL(访问控制列表)技术为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(Access Control List,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
访问控制列表又可分为以下几种类型。
基本访问控制列表:根据三层源IP制定规则,对数据包进行相应的分析处理。
高级访问控制列表:根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service优先级、IP优先级和DSCP优先级。
二层访问控制列表:根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
用户自定义访问控制列表:根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配,对数据报文作出相应的处理。
正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。
访问控制列表在网络设备中有着广泛的应用,访问控制列表配置、启用包括以下几个步骤,最好依次进行,其中前两个步骤可以不用配置,采用默认值。
(1配置时间段在系统视图下使用time-range命令配置时间段。
例如,如果想在每周的上班时间8:00–16:00控制用户访问,可以使用下面的命令:time-range ourworingtime 8:00 to 16:00 working-day(2选择交换机使用的流分类规则模式交换机只能选择一种流分类规则模式:二层ACL模式或者三层ACL模式。
