端口隔离当VLAN资源有限为了实现报文的二层隔离注意只在本设备生效接口可以设置多个组隔离类型 单向隔离同一隔离组的接口相互隔离不同隔离组之间不隔离[Huawei-GigabitEthernet0/0/1]port-isolate enable[groupgroup-id]双向隔离实现不同隔离组之间的隔离[Huawei-GigabitEthernet0/0/1]am isolate{interface-typeinterface-number}1-8隔离模式二层隔离三层互通缺省二层三层都隔离[Huawei]port-isolate mode{l2|all}MAC地址安全MAC地址表项MAC地址、接口编号、VLAN ID、MAC地址表项类型MAC地址表项分类动态MAC地址表项动态学习会老化老化时间300s静态AMC地址表项手工指定不会老化即便重启其他接口收到该MAC就丢弃黑洞MAC地址表项手工指定不会老化即便重启源目MAC是该MAC就丢弃MAC地址表安全实现方法静态MAC地址表项[Huawei]mac-address staticmac-addressinterface-type interface-numbervlanvlan-id黑洞MAC地址表项[Huawei]mac-address blackholemac-address[ vlanvlan-id]动态MAC地址老化时间[Huawei]mac-address aging-timeaging-time禁止MAC地址学习功能[Huawei-GigabitEthernet0/0/1]mac-address learning disable [ action { discard | forward }][Huawei-vlan2]mac-address learning disable限制MAC地址学习数量[Huawei-GigabitEthernet0/0/1]mac-limit maximummax-num[Huawei-GigabitEthernet0/0/1]mac-limit action { discard | forward }[Huawei-GigabitEthernet0/0/1]mac-limit alarm { disable | enable }[Huawei-vlan2]mac-limit maximummax-num端口安全1.通过在交换机的特定接口上部署端口安全可以限制接口的MAC地址学习数量并且配置出现越限时的惩罚措施。2.端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址包括安全动态MAC安全静态MAC和Sticky MAC阻止非法用户通过本接口和交换机通信从而增强设备的安全性。安全动态MAC地址使能端口安全未使能Sticky MAC功能的动态MAC地址 默认不会老化可以设置老化时间但重启会丢失安全静态MAC地址使能端口安全的静态MAC地址 不会丢失Sticky MAC使能端口安全也使能Sticky MAC功能的MAC地址 不会丢失安全动作Restrict丢弃源MAC地址不存在的报文并上报告警。Protect只丢弃源MAC地址不存在的报文不上报告警。Shutdown接口状态被置为error-down并上报告警。 //error-down auto-recovery cause port-security intervalinterval-value命令使能接口状态自动恢复。[Huawei-GigabitEthernet0/0/1]port-security enable[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number[Huawei-GigabitEthernet0/0/1]port-security mac-addressmac-addressvlanvlan-id[Huawei-GigabitEthernet0/0/1]port-security protect-action{protect|restrict|shutdown}[Huawei-GigabitEthernet0/0/1]port-security aging-timetime[type{absolute|inactivity} ][Huawei-GigabitEthernet0/0/1]port-security mac-address sticky[Huawei-GigabitEthernet0/0/1]port-security max-mac-nummax-number[Huawei-GigabitEthernet0/0/1]port-security mac-address stickymac-addressvlanvlan-idMAC地址漂移交换机上一个vlan内有两个接口学习到同一个MAC地址后学习到的MAC地址覆盖原有MAC地址表项的现象。出现大量MAC地址漂移意味着网络中存在环路或者存在网络攻击行为。防止MAC地址漂移对于环路产生的MAC地址漂移破除环路即可1.配置接口优先级 //mac-learning priority 52.配置不允许相同优先级接口MAC地址漂移 //undo mac-learning priority0allow-flappingMAC地址漂移检测1.基于VLAN的MAC地址漂移检测检测同一VLAN下所有MAC地址是否出现漂移可以采取的动作告警产生和发送告警信息接口阻断接口不收发报文MAC地址阻断接口不能收发该MAC地址的报文2.全局MAC地址漂移检测检测到MAC地址漂移后默认上告报警关闭接口quit-VLAN退出当前接口所属vlanMACsec提供二层数据安全传输MACsec定义了基于以太网的数据安全通信的方法通过逐跳设备之间数据加密保证数据传输安全性对应的标准为802.1AE。工作工程数据完整性检测、数据加密、数据源真实性检查。重放保护交换机流量控制流量抑制作用保护设备不被大量的流量冲击以及避免大量的BUM帧泛洪。实现方式设备的入接口可以对所有的流量进行过滤设备的出接口可以对BUM帧进行抑制在vlan视图下可以对VLAN内的广播流量抑制[Huawei]suppression mode { by-packets | by-bits }[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression |unicast-suppression}{percent-value| circir-value[ cbscbs-value] | packetspackets-per-second}[Huawei-GigabitEthernet0/0/1]{ broadcast-suppression | multicast-suppression | unicast-suppression } block outbound[Huawei-vlan2]broadcast-suppressionthreshold-value风暴控制风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。DHCP Snooping保证DHCP客户端从合法的DHCP服务器获取IP地址DHCP Snooping绑定表收到DHCP ACK报文中提取关键信息并获取与PC连接的使能了DHCP Snooping功能的接口信息通过绑定表记录IP地址、MAC地址、接口编号、VLAN、租期等信息。设备转发数据的时候匹配绑定表进行转发不匹配则丢弃DHCP 饿死攻击攻击者通过不断伪造源MAC地址不同的的DHCP discover报文向服务器申请IP地址。解决办法通过DHCP snooping的MAC地址限制功能来防止改变CHADDR值的DOS攻击解决方法检查DHCP Request报文中CHADDR字段与源地址是否相同。dhcpsnooping checkdhcp-chaddrenable中间人攻击攻击者利用ARP机制让Client学习到DHCP Server IP与Attacker攻击者 MAC的映射关系又让Server学习到Client IP与Attacker Mac的映射关系。本质上是一种嗅探攻击。解决方法DHCP snooping绑定表IP地址欺骗攻击解决方法IP源防攻击IPSGIP Source Guard是一种基于二层接口的源IP地址过滤技术。IPSG利用绑定表源IP地址、源MAC地址、所属VLAN、入接口的绑定关系去匹配检查二层接口上收到的IP报文只有匹配绑定表的报文才允许通过其他报文将被丢弃。