二層網(wǎng)絡(luò)安全你知道多少

為了保證二層流量能夠正常轉(zhuǎn)發(fā),針對不同的應(yīng)用場景,交換機提供了不同的方法保證轉(zhuǎn)發(fā)表的安全。譬如:MAC防漂移和端口安全通過MAC和接口的綁定,保證MAC表的安全。DHCP Snooping通過記錄用戶DHCP的認(rèn)證信息,保證動態(tài)用戶的安全接入。

為了保證二層流量能夠正常轉(zhuǎn)發(fā),針對不同的應(yīng)用場景,交換機提供了不同的方法保證轉(zhuǎn)發(fā)表的安全。譬如:MAC防漂移和端口安全通過MAC和接口的綁定,保證MAC表的安全。DHCP Snooping通過記錄用戶DHCP的認(rèn)證信息,保證動態(tài)用戶的安全接入。 接口只要接收到報文,就會進(jìn)

行MAC表項學(xué)習(xí)

花山ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18980820575(備注:SSL證書合作)期待與您的合作!

。交換機從正確的接口學(xué)習(xí)到合法用戶的MAC表后,又從其他接口接收到非法用戶的攻擊報文時,就會導(dǎo)致MAC表項學(xué)習(xí)錯誤,二層轉(zhuǎn)發(fā)出現(xiàn)異常。


配置靜態(tài)MAC:

配置MAC學(xué)習(xí)優(yōu)先級:

說明:有些交換機不支持配置MAC學(xué)習(xí)優(yōu)先級,可以通過配置MAC Spoofing功能設(shè)置網(wǎng)關(guān)接口為信任接口,防止網(wǎng)關(guān)的MAC地址漂移,配置方法如下:

[SwitchA] mac-spoofing-defend enable //全局使能MAC Spoofing功能 [SwitchA] interface gigabitethernet 0/0/10 //連接網(wǎng)關(guān)的接口 [SwitchA-GigabitEthernet0/0/10] mac-spoofing-defend enable //配置接口為信任接口 端口安全也是一種保證轉(zhuǎn)發(fā)表安全的特性。在接口上使能端口安全功能后,接口上學(xué)習(xí)到的MAC地址就會自動轉(zhuǎn)換為安全MAC,實現(xiàn)MAC地址和接口綁定,這樣該MAC對應(yīng)的用戶就只能從該接口接入,無法再從其他接口接入。

但是端口安全無法判斷接入的用戶是否合法,只能保證先到的用戶可以接入,如果先到的用戶是非法的,也是可以接入的。

如上圖,某企業(yè)為了保證接入用戶的安全性,防止非法用戶通過發(fā)送源MAC頻繁變化的報文攻擊網(wǎng)絡(luò),同時防止非法用戶通過仿冒MAC地址接入網(wǎng)絡(luò)。要求一個接口下只允許三個用戶接入,同時要求這三個用戶只能從指定接口接入,不能從任意端口接入。

如何抑制廣播風(fēng)暴?

就是廣播、未知組播以及未知單播報文過多或者在網(wǎng)絡(luò)中成環(huán)的一種現(xiàn)象。

二層轉(zhuǎn)發(fā)是根據(jù)MAC表項轉(zhuǎn)發(fā)的,如果報文的MAC地址在MAC表中找不到對應(yīng)的出接口,報文就會在VLAN內(nèi)所有端口進(jìn)行轉(zhuǎn)發(fā),從而產(chǎn)生廣播風(fēng)暴。

抑制廣播風(fēng)暴最根本的方法是找到報文的出接口,使報文進(jìn)行單播轉(zhuǎn)發(fā)。然而在實際應(yīng)用中,由于MAC表的規(guī)格限制和二層轉(zhuǎn)發(fā)的原理,廣播風(fēng)暴是無法徹底解決的,只能盡可能的減少安全風(fēng)險。

流量抑制

1、基于接口進(jìn)行流量限制

2、基于VLAN進(jìn)行流量限制

3、基于接口進(jìn)行流量阻塞

這些功能又該怎么應(yīng)用呢?我們從下圖拓?fù)淇匆幌聭?yīng)用場景和配置方法。

SwitchA是匯聚層交換機,通過接口GE0/0/1接入網(wǎng)絡(luò)的用戶屬于兩個VLAN,VLAN 10和 VLAN 20;通過接口GE0/0/2接入網(wǎng)絡(luò)的用戶屬于VLAN 30;通過接口GE0/0/3接入網(wǎng)絡(luò)只有一個固定的用戶,該用戶對安全要求較高,不希望收到廣播、未知組播以及未知單播報文。

接口GE0/0/1下的用戶屬于不同的VLAN域,可以針對不同的VLAN分別進(jìn)行流量抑制。 接口GE0/0/2下的用戶屬于同一個VLAN,可以直接針對該接口進(jìn)行流量抑制。 接口GE0/0/3下的用戶對安全要求較高,基于接口阻塞廣播、未知組播以及未知單播報文的流量

基于VLAN配置流量抑制,限制每個VLAN廣播、未知組播以及未知單播報文的流量。

[SwitchA] qos car qoscar1 cir 1000 //配置Qos模板,承諾速率是1000kbit/s [SwitchA] vlan 10 [SwitchA-vlan10] broadcast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對廣播報文進(jìn)行抑制,承諾速率是1000kbit/s [SwitchA-vlan10] multicast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對未知組播的抑制,承諾速率是1000kbit/s [SwitchA-vlan10] unicast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對未知單播的抑制,承諾速率是1000kbit/

說明:基于接口的流量抑制,有三種配置方式:可以基于百分比,包速率和比特速率分別抑制

風(fēng)暴控制

1、

阻塞端口:

2、 Error-Down端口:

當(dāng)前名稱:二層網(wǎng)絡(luò)安全你知道多少
標(biāo)題網(wǎng)址:http://muchs.cn/article38/spspp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計公司、軟件開發(fā)、網(wǎng)站內(nèi)鏈云服務(wù)器、動態(tài)網(wǎng)站網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)