目前网络中以太网技术的应用非常广泛、然后、各种网络攻击的纯在(例如针对ARP DHCP 等攻击)不仅造成了网络合法用户无法正常访问网络资源、而且对网络信息安全构成严重威胁、以下配置是对局域网安全配置命令做详解
主要的安全威胁
MAC攻击:泛洪、欺骗
DHCP攻击:饿死、欺骗
ARP攻击:欺骗
IP攻击:欺骗
MAC地址安全 |
mac-address static 0000-11111-2222 g0/0/1 vlan1 PS:一个静态MAC地址只能绑定一个接口 |
添加静态MAC地址表项: 将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项可以保证启安全通信 |
||||
mac-address blackhole 0666-0666-0666 |
添加黑洞mac地址表项: 防止黑客通过MAC地址攻击网络、交换机对来自黑洞mac或者去往黑洞mac的报文财务丢弃处理 |
|||||
mac-address aging-time 60 |
配置老化时间、默认300s |
|||||
int g0/0/1 mac-address learning disable action *discard *forward (默认动作) *discard:对报文源MAC地址进行匹配。当源MAC地址于MAC地址表项匹配时、对该报文进行转发;否则丢弃该报文 |
关闭基于接口的mac地址学习功能后的报文处理动作 |
|||||
VLAN 10 mac-address learning disable 优先级:基于VLAN>基于接口 |
关闭基于VLAN的MAC地址学习功能 |
|||||
int g0/0/1 mac-limit maxmum 10 mac-limit action {discard | forward } mac-limit alarm {discard | enable } |
配置MAC地址数量上限(可以限制接口私接小交换机和无线路由器的问题) 配置超限后的动作 配置超限后是否告警 |
|||||
端口安全 |
in g0/0/1 port-security enable port-security max-mac-num 10 port-security aging-time 10 port-security mac-address sticky port-security protect-action *protect *shutdown *restric |
开启端口安全 配置最大安全MAC地址数 配置MAC地址老化时间 配置Sticky 配置保护动作 |
||||
display mac-address security display mac-address sec-config dispaly mac-address sticky |
查看安全动态MAC地址表项 查看配置的安全静态mac地址表项 查看sticky MAc表项 |
|||||
mac地址漂移 |
mac-address flapping detection disaply mac-address flapping record undo mac-address flapping 2 allow-flapping |
配置MAC地址漂移检测 查看MAC地址漂移记录 配置禁止相同优先级发生漂移 |
||||
intg/0/0/1 mac-learning priority 2 mac-learning priority flapping-defend action *discard *forward(默认动作) mac-address flapping action | trigger *quit-vlan :退出当前VLAN *err-down : 关闭接口 |
配置接口学习MAC的优先级 配置禁止MAC地址漂移时报文的处理动作 配置发生漂移后的处理动作 |
|||||
eero-down auto-recovery cause mac-address-flapping interval time-value |
Error-Down自动恢复命令: |
|||||
mac-address flapping quit-vlan recover-time time-value |
Quti-VLAN自动恢复的命令: |
|||||
流量抑制配置 |
suppression mode by-packets | by-bits |
配置流量抑制模式: 默认微packets, bists颗粒更小、抑制更精准、但不是所有型号的设备都支持 |
||||
int g/0/0/1 broadcast-suppression 10 muticast-suppression packts 10 unicast-suppression 10 known-muticsat-suppression 10 known-unicast-suppression 10 |
配置广播报文抑制百分比 配置未知组播报文抑制PPS (PPS:每秒收到的包个数) 配置未知单播报文抑制PPS 配置已知组播报文流量抑制、百分比抑制、百分比10% 配置已知单播报文流量抑制、百分比抑制、百分比10% |
|||||
交换机攻击防护 |
anti-attack fragment car cir 80000 anti-attack tcp-syn car cir 80000 anti-attack icmp-flood car cir 80000 |
限制TCP SYN报文接收的速率 限制ICMP泛洪攻击报文接收的速率 限制分片报文接收的速率 |
||||
风暴控制(建议使用) |
in g0/0/1 strom-control broadcast min-rate 1000 max-rate 2000 strom-control multicast min-rate 1000 max-rate 2000 strom-control unicast min-rate 1000 max-rate 2000 storm-control action block strom-control enable log strom-control interval 90
|
配置广播风暴控制 配置未知组播风暴控制 配置未知单播风暴控制 配置风暴控制的动作为阻塞报文 配置打开风暴控制时记录日志的功能 配置风暴控制的检测时间间隔 |
||||
DHCP安全 |
dhcp snoopping enable {ipv4 | ipv6} |
全局开启DHCP snooping功能 |
||||
vlan 10 dhcp snooping enable dhcp snooping trustd interface g0/0/1 |
基于VLAN开启DHCP Snooping 配置信任接口 |
|||||
in g0/0/1 dhcp snooping enable dhcp snooping trustd |
基于接口开启DHCP snooping 配置信任接口 |
|||||
dhcp snooping check dhcp-chaddr enable |
检测源MAC于CHADDR是否相同 |
|||||
dhcp snooping check dhcp-giaddr enable |
检测GIADDR字段是否非零 |
|||||
dhcp snooping check dhcp-ratge enable dhcp snooping check dhck-rate 50 |
开启DHCP速率检查功能 配置默认速率上限、默认100pps |
|||||
dhcp snooping max-user-number 20 |
配置接口dhcp最大用户数 |
|||||
dhcp snooping user-offine remove mac-address |
配置DHCP用户下线后及时清除对应用户的MAC地址表项功能 |
|||||
arp dhcp-snooping-detect enable |
配置ARP和DHCP snooping联动 |
|||||
display dhcp snooping configuration |
验证DHCP snooping配置信息 |
|||||
display dhcp snooping int g0/0/0/1 |
验证DHCP Snooping接口 |
|||||
dispaly dhcp snooping user-bind all |
验证DHCP snooping绑定表 |
|||||
IP安全 |
in g0/0/1 ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 |
开启IPSG 开启检查告警功能 配置检查告警阈值 |
原理是检查mac地址绑定表 |
|||
display dhcp static user-bind all |
验证静态绑定信息 |
|||||
display dhcp snooping user-bind all |
验证动态绑定信息 |