为了保证二层流量能够正常转发,针对不同的应用场景,交换机提供了不同的方法保证转发表的安全。譬如:MAC防漂移和端口安全通过MAC和接口的绑定,保证MAC表的安全。DHCP Snooping通过记录用户DHCP的认证信息,保证动态用户的安全接入。 接口只要接收到报文,就会进
行MAC表项学习
花山ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为成都创新互联公司的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!
。交换机从正确的接口学习到合法用户的MAC表后,又从其他接口接收到非法用户的攻击报文时,就会导致MAC表项学习错误,二层转发出现异常。配置静态MAC:
配置MAC学习优先级:
说明:有些交换机不支持配置MAC学习优先级,可以通过配置MAC Spoofing功能设置网关接口为信任接口,防止网关的MAC地址漂移,配置方法如下:
[SwitchA] mac-spoofing-defend enable //全局使能MAC Spoofing功能 [SwitchA] interface gigabitethernet 0/0/10 //连接网关的接口 [SwitchA-GigabitEthernet0/0/10] mac-spoofing-defend enable //配置接口为信任接口 端口安全也是一种保证转发表安全的特性。在接口上使能端口安全功能后,接口上学习到的MAC地址就会自动转换为安全MAC,实现MAC地址和接口绑定,这样该MAC对应的用户就只能从该接口接入,无法再从其他接口接入。但是端口安全无法判断接入的用户是否合法,只能保证先到的用户可以接入,如果先到的用户是非法的,也是可以接入的。
如何抑制广播风暴?
就是广播、未知组播以及未知单播报文过多或者在网络中成环的一种现象。 二层转发是根据MAC表项转发的,如果报文的MAC地址在MAC表中找不到对应的出接口,报文就会在VLAN内所有端口进行转发,从而产生广播风暴。 抑制广播风暴最根本的方法是找到报文的出接口,使报文进行单播转发。然而在实际应用中,由于MAC表的规格限制和二层转发的原理,广播风暴是无法彻底解决的,只能尽可能的减少安全风险。流量抑制
1、基于接口进行流量限制
2、基于VLAN进行流量限制
3、基于接口进行流量阻塞
这些功能又该怎么应用呢?我们从下图拓扑看一下应用场景和配置方法。
接口GE0/0/1下的用户属于不同的VLAN域,可以针对不同的VLAN分别进行流量抑制。 接口GE0/0/2下的用户属于同一个VLAN,可以直接针对该接口进行流量抑制。 接口GE0/0/3下的用户对安全要求较高,基于接口阻塞广播、未知组播以及未知单播报文的流量
基于VLAN配置流量抑制,限制每个VLAN广播、未知组播以及未知单播报文的流量。[SwitchA] qos car qoscar1 cir 1000 //配置Qos模板,承诺速率是1000kbit/s [SwitchA] vlan 10 [SwitchA-vlan10] broadcast-suppression qoscar1 //在VLAN视图下应用该模板,对广播报文进行抑制,承诺速率是1000kbit/s [SwitchA-vlan10] multicast-suppression qoscar1 //在VLAN视图下应用该模板,对未知组播的抑制,承诺速率是1000kbit/s [SwitchA-vlan10] unicast-suppression qoscar1 //在VLAN视图下应用该模板,对未知单播的抑制,承诺速率是1000kbit/
说明:基于接口的流量抑制,有三种配置方式:可以基于百分比,包速率和比特速率分别抑制风暴控制
1、
阻塞端口:
2、 Error-Down端口:
当前名称:二层网络安全你知道多少
地址分享:http://scgulin.cn/article/spspp.html