【以太网安全】——防护高级特性配置总结
目前网络中以太网技术的应用非常广泛、然后、各种网络攻击的纯在(例如针对ARP DHCP 等攻击)不仅造成了网络合法用户无法正常访问网络资源、而且对网络信息安全构成严重威胁、以下配置是对局域网安全配置命令做详解
主要的安全威胁
MAC攻击:泛洪、欺骗
DHCP攻击:饿死、欺骗
ARP攻击:欺骗
IP攻击:欺骗
| MAC地址安全 | mac-address static 0000-11111-2222 g0/0/1 vlan1 PS:一个静态MAC地址只能绑定一个接口 | 添加静态MAC地址表项: 将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项可以保证启安全通信 | ||||
| mac-address blackhole 0666-0666-0666 | 添加黑洞mac地址表项: 防止黑客通过MAC地址攻击网络、交换机对来自黑洞mac或者去往黑洞mac的报文财务丢弃处理 | |||||
| mac-address aging-time 60 | 配置老化时间、默认300s | |||||
| int g0/0/1 mac-address learning disable action *discard *forward (默认动作) *discard:对报文源MAC地址进行匹配。当源MAC地址于MAC地址表项匹配时、对该报文进行转发;否则丢弃该报文 | 关闭基于接口的mac地址学习功能后的报文处理动作 | |||||
| VLAN 10 mac-address learning disable 优先级:基于VLAN>基于接口 | 关闭基于VLAN的MAC地址学习功能 | |||||
| int g0/0/1 mac-limit maxmum 10 mac-limit action {discard | forward } mac-limit alarm {discard | enable } | 配置MAC地址数量上限(可以限制接口私接小交换机和无线路由器的问题) 配置超限后的动作 配置超限后是否告警 | |||||
| 端口安全 | in g0/0/1 port-security enable port-security max-mac-num 10 port-security aging-time 10 port-security mac-address sticky port-security protect-action *protect *shutdown *restric | 开启端口安全 配置最大安全MAC地址数 配置MAC地址老化时间 配置Sticky 配置保护动作 | ||||
| display mac-address security display mac-address sec-config dispaly mac-address sticky | 查看安全动态MAC地址表项 查看配置的安全静态mac地址表项 查看sticky MAc表项 | |||||
| mac地址漂移 | mac-address flapping detection disaply mac-address flapping record undo mac-address flapping 2 allow-flapping | 配置MAC地址漂移检测 查看MAC地址漂移记录 配置禁止相同优先级发生漂移 | ||||
| intg/0/0/1 mac-learning priority 2 mac-learning priority flapping-defend action *discard *forward(默认动作) mac-address flapping action | trigger *quit-vlan :退出当前VLAN *err-down : 关闭接口 | 配置接口学习MAC的优先级 配置禁止MAC地址漂移时报文的处理动作 配置发生漂移后的处理动作 | |||||
| eero-down auto-recovery cause mac-address-flapping interval time-value | Error-Down自动恢复命令: | |||||
| mac-address flapping quit-vlan recover-time time-value | Quti-VLAN自动恢复的命令: | |||||
| 流量抑制配置 | suppression mode by-packets | by-bits | 配置流量抑制模式: 默认微packets, bists颗粒更小、抑制更精准、但不是所有型号的设备都支持 | ||||
| int g/0/0/1 broadcast-suppression 10 muticast-suppression packts 10 unicast-suppression 10 known-muticsat-suppression 10 known-unicast-suppression 10 | 配置广播报文抑制百分比 配置未知组播报文抑制PPS (PPS:每秒收到的包个数) 配置未知单播报文抑制PPS 配置已知组播报文流量抑制、百分比抑制、百分比10% 配置已知单播报文流量抑制、百分比抑制、百分比10% | |||||
| 交换机攻击防护 | anti-attack fragment car cir 80000 anti-attack tcp-syn car cir 80000 anti-attack icmp-flood car cir 80000 | 限制TCP SYN报文接收的速率 限制ICMP泛洪攻击报文接收的速率 限制分片报文接收的速率 | ||||
| 风暴控制(建议使用) | in g0/0/1 strom-control broadcast min-rate 1000 max-rate 2000 strom-control multicast min-rate 1000 max-rate 2000 strom-control unicast min-rate 1000 max-rate 2000 storm-control action block strom-control enable log strom-control interval 90
| 配置广播风暴控制 配置未知组播风暴控制 配置未知单播风暴控制 配置风暴控制的动作为阻塞报文 配置打开风暴控制时记录日志的功能 配置风暴控制的检测时间间隔 | ||||
| DHCP安全 | dhcp snoopping enable {ipv4 | ipv6} | 全局开启DHCP snooping功能 | ||||
| vlan 10 dhcp snooping enable dhcp snooping trustd interface g0/0/1 | 基于VLAN开启DHCP Snooping 配置信任接口 | |||||
| in g0/0/1 dhcp snooping enable dhcp snooping trustd | 基于接口开启DHCP snooping 配置信任接口 | |||||
| dhcp snooping check dhcp-chaddr enable | 检测源MAC于CHADDR是否相同 | |||||
| dhcp snooping check dhcp-giaddr enable | 检测GIADDR字段是否非零 | |||||
| dhcp snooping check dhcp-ratge enable dhcp snooping check dhck-rate 50 | 开启DHCP速率检查功能 配置默认速率上限、默认100pps | |||||
| dhcp snooping max-user-number 20 | 配置接口dhcp最大用户数 | |||||
| dhcp snooping user-offine remove mac-address | 配置DHCP用户下线后及时清除对应用户的MAC地址表项功能 | |||||
| arp dhcp-snooping-detect enable | 配置ARP和DHCP snooping联动 | |||||
| display dhcp snooping configuration | 验证DHCP snooping配置信息 | |||||
| display dhcp snooping int g0/0/0/1 | 验证DHCP Snooping接口 | |||||
| dispaly dhcp snooping user-bind all | 验证DHCP snooping绑定表 | |||||
| IP安全 | in g0/0/1 ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 | 开启IPSG 开启检查告警功能 配置检查告警阈值 | 原理是检查mac地址绑定表 | |||
| display dhcp static user-bind all | 验证静态绑定信息 | |||||
| display dhcp snooping user-bind all | 验证动态绑定信息 |