为了保证二层流量能够正常转发,针对不同的应用场景,交换机提供了不同的方法保证转发表的安全。譬如:MAC防漂移和端口安全通过MAC和接口的绑定,保证MAC表的安全。DHCP Snooping通过记录用户DHCP的认证信息,保证动态用户的安全接入。
为了保证二层流量能够正常转发,针对不同的应用场景,交换机提供了不同的方法保证转发表的安全。譬如:MAC防漂移和端口安全通过MAC和接口的绑定,保证MAC表的安全。DHCP Snooping通过记录用户DHCP的认证信息,保证动态用户的安全接入。
接口只要接收到报文,就会进
行MAC表项学习
花山ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为成都创新互联公司的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!
。交换机从正确的接口学习到合法用户的MAC表后,又从其他接口接收到非法用户的攻击报文时,就会导致MAC表项学习错误,二层转发出现异常。
配置静态MAC:
配置MAC学习优先级:
说明:有些交换机不支持配置MAC学习优先级,可以通过配置MAC Spoofing功能设置网关接口为信任接口,防止网关的MAC地址漂移,配置方法如下:
[SwitchA] mac-spoofing-defend enable //全局使能MAC Spoofing功能
[SwitchA] interface gigabitethernet 0/0/10 //连接网关的接口
[SwitchA-GigabitEthernet0/0/10] mac-spoofing-defend enable //配置接口为信任接口
端口安全也是一种保证转发表安全的特性。在接口上使能端口安全功能后,接口上学习到的MAC地址就会自动转换为安全MAC,实现MAC地址和接口绑定,这样该MAC对应的用户就只能从该接口接入,无法再从其他接口接入。
但是端口安全无法判断接入的用户是否合法,只能保证先到的用户可以接入,如果先到的用户是非法的,也是可以接入的。
如上图,某企业为了保证接入用户的安全性,防止非法用户通过发送源MAC频繁变化的报文攻击网络,同时防止非法用户通过仿冒MAC地址接入网络。要求一个接口下只允许三个用户接入,同时要求这三个用户只能从指定接口接入,不能从任意端口接入。
如何抑制广播风暴?
就是广播、未知组播以及未知单播报文过多或者在网络中成环的一种现象。
二层转发是根据MAC表项转发的,如果报文的MAC地址在MAC表中找不到对应的出接口,报文就会在VLAN内所有端口进行转发,从而产生广播风暴。
抑制广播风暴最根本的方法是找到报文的出接口,使报文进行单播转发。然而在实际应用中,由于MAC表的规格限制和二层转发的原理,广播风暴是无法彻底解决的,只能尽可能的减少安全风险。
流量抑制
1、基于接口进行流量限制
2、基于VLAN进行流量限制
3、基于接口进行流量阻塞
这些功能又该怎么应用呢?我们从下图拓扑看一下应用场景和配置方法。
SwitchA是汇聚层交换机,通过接口GE0/0/1接入网络的用户属于两个VLAN,VLAN 10和 VLAN 20;通过接口GE0/0/2接入网络的用户属于VLAN 30;通过接口GE0/0/3接入网络只有一个固定的用户,该用户对安全要求较高,不希望收到广播、未知组播以及未知单播报文。
接口GE0/0/1下的用户属于不同的VLAN域,可以针对不同的VLAN分别进行流量抑制。
接口GE0/0/2下的用户属于同一个VLAN,可以直接针对该接口进行流量抑制。
接口GE0/0/3下的用户对安全要求较高,基于接口阻塞广播、未知组播以及未知单播报文的流量
基于VLAN配置流量抑制,限制每个VLAN广播、未知组播以及未知单播报文的流量。
[SwitchA] qos car qoscar1 cir 1000 //配置Qos模板,承诺速率是1000kbit/s
[SwitchA] vlan 10
[SwitchA-vlan10] broadcast-suppression qoscar1 //在VLAN视图下应用该模板,对广播报文进行抑制,承诺速率是1000kbit/s
[SwitchA-vlan10] multicast-suppression qoscar1 //在VLAN视图下应用该模板,对未知组播的抑制,承诺速率是1000kbit/s
[SwitchA-vlan10] unicast-suppression qoscar1 //在VLAN视图下应用该模板,对未知单播的抑制,承诺速率是1000kbit/
说明:基于接口的流量抑制,有三种配置方式:可以基于百分比,包速率和比特速率分别抑制
风暴控制
1、
阻塞端口:
2、 Error-Down端口:
分享标题:二层网络安全你知道多少
网页链接:
http://cdkjz.cn/article/spspp.html
