以太网交换安全梦然总
结
端口隔离
隔离类型
单项隔离
双向隔离
隔离模式
L2:二层隔离三层通信
all:二三层都隔离
MAC地址表安全
安全类型
静态MAC地址表项
动态MAC地址表项
黑洞MAC地址表项
安全模式
配置静态MAC地址绑定
配置黑洞MAC地址阻断
配置动态MAC地址老化时间
禁止学习新的MAC地址功能
限制MAC地址最大学习数量
和端口安全限制学习mac地址区别是,端口安全
可以警告或者shutdown端口
端口安全
安全类型
安全模式/保护动作
安全动态MAC地址 不老化会丢失
安全静态MAC地址 不老化不丢失
Strick MAC地址 不老化不丢失 动态学习 自行动态绑定
Restrict
Protect
Shutdown
丢弃并报警
丢弃不报警
告警并关闭端口
交换机流量控制
DHCP Snooping
防止MAC地址飘移
实现方式
配置接口学习优先级
配置不允许相同优先级接口MAC地址飘移
慎用 因为它只认为先学习到的端口为信任端口,
万一断电后黑客比正常主机先发送报文让接口进
行学习,那么该交换机将不会学习正确主机的
MAC地址。
优先级越高越优先
适用范围
基于vlan的mac地址飘移检测 可以选择告警、阻断端口、阻断mac地址
告警:给网管发送告警
阻断端口:关闭端口收发报文能力
可选择block-time关键字指定阻塞时间,如果指
定阻塞时间为20秒,那末阻塞完端口20秒后可
以正常收发报文,在收发报文的20秒内再次发生
阻塞,就在将该端口进行阻塞,如此重复X次
数(X可以使用retry-times关键字进行指定)
后,该端口将被永远阻塞
只阻塞当前mac地址,该端口其他mac通信不受
影响
基于v全局的mac地址飘移检测
如发生飘移设备会报警到网关系统,用户也可指
定发生飘移后处理动作例如:关闭接口或者退出
vlan
关闭端口/error-down
quit=vlan/退出vlan
vlan白名单:默认是对所有vlan进行检测,对某
些特殊主机不需要进行mac地址检测可以配置
vlan白名单
流量控制
报文流量大于规定阈值会将超出百分比流量进行
丢弃,阈值内报文还可以正常转发。
作用:对流量进行限制,维护设备运行效率。
风暴控制
报文流量大于规定阈值会将直接阻塞该接口收到
的该类型报文或者直接将端口关闭
作用:利用惩罚动作(block和shutdown)对
端口进行阻塞达到破除环路问题。
DHCP Snooping信任功能
对于DHCP请求报文设备只对信任接口进行转
发,对于DHCP响应报文只对开启DHCP
Snooping的接口进行转发。
DHCP Snooping绑定表
从DHCP响应报文内提取关键字信息(pc mac地
址、分配的IP地址、租期等),把他们和设备转
发信息(端口号、vlan id等)混合为一张表,用
来进行检查是否合理。
评论0
最新资源