為了保證二層流量能夠正常轉(zhuǎn)發(fā),針對不同的應(yīng)用場景,交換機提供了不同的方法保證轉(zhuǎn)發(fā)表的安全。譬如:MAC防漂移和端口安全通過MAC和接口的綁定,保證MAC表的安全。DHCP Snooping通過記錄用戶DHCP的認(rèn)證信息,保證動態(tài)用戶的安全接入。 接口只要接收到報文,就會進(jìn)
行MAC表項學(xué)習(xí)
花山ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18980820575(備注:SSL證書合作)期待與您的合作!
。交換機從正確的接口學(xué)習(xí)到合法用戶的MAC表后,又從其他接口接收到非法用戶的攻擊報文時,就會導(dǎo)致MAC表項學(xué)習(xí)錯誤,二層轉(zhuǎn)發(fā)出現(xiàn)異常。配置靜態(tài)MAC:
配置MAC學(xué)習(xí)優(yōu)先級:
說明:有些交換機不支持配置MAC學(xué)習(xí)優(yōu)先級,可以通過配置MAC Spoofing功能設(shè)置網(wǎng)關(guān)接口為信任接口,防止網(wǎng)關(guān)的MAC地址漂移,配置方法如下:
[SwitchA] mac-spoofing-defend enable //全局使能MAC Spoofing功能 [SwitchA] interface gigabitethernet 0/0/10 //連接網(wǎng)關(guān)的接口 [SwitchA-GigabitEthernet0/0/10] mac-spoofing-defend enable //配置接口為信任接口 端口安全也是一種保證轉(zhuǎn)發(fā)表安全的特性。在接口上使能端口安全功能后,接口上學(xué)習(xí)到的MAC地址就會自動轉(zhuǎn)換為安全MAC,實現(xiàn)MAC地址和接口綁定,這樣該MAC對應(yīng)的用戶就只能從該接口接入,無法再從其他接口接入。但是端口安全無法判斷接入的用戶是否合法,只能保證先到的用戶可以接入,如果先到的用戶是非法的,也是可以接入的。
如何抑制廣播風(fēng)暴?
就是廣播、未知組播以及未知單播報文過多或者在網(wǎng)絡(luò)中成環(huán)的一種現(xiàn)象。 二層轉(zhuǎn)發(fā)是根據(jù)MAC表項轉(zhuǎn)發(fā)的,如果報文的MAC地址在MAC表中找不到對應(yīng)的出接口,報文就會在VLAN內(nèi)所有端口進(jìn)行轉(zhuǎn)發(fā),從而產(chǎn)生廣播風(fēng)暴。 抑制廣播風(fēng)暴最根本的方法是找到報文的出接口,使報文進(jìn)行單播轉(zhuǎn)發(fā)。然而在實際應(yīng)用中,由于MAC表的規(guī)格限制和二層轉(zhuǎn)發(fā)的原理,廣播風(fēng)暴是無法徹底解決的,只能盡可能的減少安全風(fēng)險。流量抑制
1、基于接口進(jìn)行流量限制
2、基于VLAN進(jìn)行流量限制
3、基于接口進(jìn)行流量阻塞
這些功能又該怎么應(yīng)用呢?我們從下圖拓?fù)淇匆幌聭?yīng)用場景和配置方法。
接口GE0/0/1下的用戶屬于不同的VLAN域,可以針對不同的VLAN分別進(jìn)行流量抑制。 接口GE0/0/2下的用戶屬于同一個VLAN,可以直接針對該接口進(jìn)行流量抑制。 接口GE0/0/3下的用戶對安全要求較高,基于接口阻塞廣播、未知組播以及未知單播報文的流量
基于VLAN配置流量抑制,限制每個VLAN廣播、未知組播以及未知單播報文的流量。[SwitchA] qos car qoscar1 cir 1000 //配置Qos模板,承諾速率是1000kbit/s [SwitchA] vlan 10 [SwitchA-vlan10] broadcast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對廣播報文進(jìn)行抑制,承諾速率是1000kbit/s [SwitchA-vlan10] multicast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對未知組播的抑制,承諾速率是1000kbit/s [SwitchA-vlan10] unicast-suppression qoscar1 //在VLAN視圖下應(yīng)用該模板,對未知單播的抑制,承諾速率是1000kbit/
說明:基于接口的流量抑制,有三種配置方式:可以基于百分比,包速率和比特速率分別抑制風(fēng)暴控制
1、
阻塞端口:
2、 Error-Down端口:
當(dāng)前名稱:二層網(wǎng)絡(luò)安全你知道多少
標(biāo)題網(wǎng)址:http://muchs.cn/article38/spspp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計公司、軟件開發(fā)、網(wǎng)站內(nèi)鏈、云服務(wù)器、動態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)