以太网安全基础

端口隔离

当VLAN资源有限，为了实现报文的二层隔离（注意只在本设备生效，接口可以设置多个组）

隔离类型 ：

单向隔离：同一隔离组的接口相互隔离，不同隔离组之间不隔离

[Huawei-GigabitEthernet0/0/1]port-isolate enable[groupgroup-id]

双向隔离：实现不同隔离组之间的隔离

[Huawei-GigabitEthernet0/0/1]am isolate{interface-typeinterface-number}&<1-8>

隔离模式：

二层隔离三层互通（缺省）

二层三层都隔离

[Huawei]port-isolate mode{l2|all}

MAC地址安全

MAC地址表项：MAC地址、接口编号、VLAN ID、MAC地址表项类型

MAC地址表项分类

动态MAC地址表项：动态学习会老化（老化时间300s）

静态AMC地址表项：手工指定不会老化即便重启；其他接口收到该MAC就丢弃

黑洞MAC地址表项：手工指定不会老化即便重启，源目MAC是该MAC就丢弃

MAC地址表安全

实现方法：

静态MAC地址表项

[Huawei]mac-address staticmac-addressinterface-type interface-numbervlanvlan-id

黑洞MAC地址表项

[Huawei]mac-address blackholemac-address[ vlanvlan-id]

动态MAC地址老化时间

[Huawei]mac-address aging-timeaging-time

禁止MAC地址学习功能

[Huawei-GigabitEthernet0/0/1]mac-address learning disable [ action { discard | forward }]

[Huawei-vlan2]mac-address learning disable

限制MAC地址学习数量

[Huawei-GigabitEthernet0/0/1]mac-limit maximummax-num

[Huawei-GigabitEthernet0/0/1]mac-limit action { discard | forward }

[Huawei-GigabitEthernet0/0/1]mac-limit alarm { disable | enable }

[Huawei-vlan2]mac-limit maximummax-num

端口安全

1.通过在交换机的特定接口上部署端口安全，可以限制接口的MAC地址学习数量，并且配置出现越限时的惩罚措施。

2.端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC，安全静态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

安全动态MAC地址

使能端口安全未使能Sticky MAC功能的动态MAC地址 （默认不会老化可以设置老化时间但重启会丢失）

安全静态MAC地址

使能端口安全的静态MAC地址 （不会丢失）

Sticky MAC

使能端口安全也使能Sticky MAC功能的MAC地址 （不会丢失）

安全动作

Restrict：丢弃源MAC地址不存在的报文并上报告警。

Protect：只丢弃源MAC地址不存在的报文，不上报告警。

Shutdown：接口状态被置为error-down，并上报告警。 //error-down auto-recovery cause port-security intervalinterval-value命令使能接口状态自动恢复。

[Huawei-GigabitEthernet0/0/1]port-security enable

[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number

[Huawei-GigabitEthernet0/0/1]port-security mac-addressmac-addressvlanvlan-id

[Huawei-GigabitEthernet0/0/1]port-security protect-action{protect|restrict|shutdown}

[Huawei-GigabitEthernet0/0/1]port-security aging-timetime[type{absolute|inactivity} ]

[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky

[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number

[Huawei-GigabitEthernet0/0/1]port-security mac-address stickymac-addressvlanvlan-id

MAC地址漂移

交换机上一个vlan内有两个接口学习到同一个MAC地址，后学习到的MAC地址覆盖原有MAC地址表项的现象。

出现大量MAC地址漂移意味着网络中存在环路或者存在网络攻击行为。

防止MAC地址漂移

对于环路产生的MAC地址漂移破除环路即可

1.配置接口优先级 //mac-learning priority 5

2.配置不允许相同优先级接口MAC地址漂移 //undo mac-learning priority0allow-flapping

MAC地址漂移检测

1.基于VLAN的MAC地址漂移检测

检测同一VLAN下所有MAC地址是否出现漂移，可以采取的动作：

告警：产生和发送告警信息

接口阻断：接口不收发报文

MAC地址阻断：接口不能收发该MAC地址的报文

2.全局MAC地址漂移检测

检测到MAC地址漂移后，默认上告报警：

关闭接口：

quit-VLAN：退出当前接口所属vlan

MACsec

提供二层数据安全传输

MACsec定义了基于以太网的数据安全通信的方法，通过逐跳设备之间数据加密，保证数据传输安全性，对应的标准为802.1AE。

工作工程：

数据完整性检测、数据加密、数据源真实性检查。重放保护

交换机流量控制

流量抑制

作用：保护设备不被大量的流量冲击，以及避免大量的BUM帧泛洪。

实现方式：设备的入接口：可以对所有的流量进行过滤

设备的出接口：可以对BUM帧进行抑制

在vlan视图下：可以对VLAN内的广播流量抑制

[Huawei]suppression mode { by-packets | by-bits }

[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression |unicast-suppression}{percent-value| circir-value[ cbscbs-value] | packetspackets-per-second}

[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression | unicast-suppression } block outbound

[Huawei-vlan2]broadcast-suppressionthreshold-value

风暴控制

DHCP Snooping

保证DHCP客户端从合法的DHCP服务器获取IP地址

DHCP Snooping绑定表：收到DHCP ACK报文中提取关键信息，并获取与PC连接的使能了DHCP Snooping功能的接口信息

通过绑定表记录IP地址、MAC地址、接口编号、VLAN、租期等信息。设备转发数据的时候匹配绑定表进行转发，不匹配则丢弃

DHCP 饿死攻击

攻击者通过不断伪造源MAC地址不同的的DHCP discover报文，向服务器申请IP地址。

解决办法：通过DHCP snooping的MAC地址限制功能来防止

改变CHADDR值的DOS攻击

解决方法：检查DHCP Request报文中CHADDR字段与源地址是否相同。

dhcpsnooping checkdhcp-chaddrenable

中间人攻击

攻击者利用ARP机制，让Client学习到DHCP Server IP与Attacker（攻击者） MAC的映射关系，又让Server学习到Client IP与Attacker Mac的映射关系。本质上是一种嗅探攻击。

解决方法：DHCP snooping绑定表

IP地址欺骗攻击

解决方法：IP源防攻击（IPSG，IP Source Guard），是一种基于二层接口的源IP地址过滤技术。

IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。