接入层设备安全
配置流量抑制功能
<HUAWEI> system-view
[HUAWEI] suppression mode by-bits //配置全局流量抑制模式
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression cir 1000 //配置接口入方向的未知广播流量抑制
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression cir 1000 //配置接口入方向的未知组播流量抑制
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression cri 1000 //配置接口入方向的未知单播流量抑制
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression block outbound //配置阻断接口出方向的广播流量
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression block outbound //配置阻断接口出方向的组播流量
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression block outbound //配置阻断接口出方向的单播流量
配置风暴控制功能
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000 //配置广播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000 //配置未知组播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000 //配置未知单播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control action block //配置风暴控制的动作 [HUAWEI-GigabitEthernet0/0/1] storm-control enable log //使能风暴控制时记录 日志的功能
[HUAWEI-GigabitEthernet0/0/1] storm-control interval 90 //配置风暴控制的检测时间间隔
配置DHCP Snooping功能示例
<HUAWEI> system-view
[HUAWEI] dhcp enable //使能DHCP功能
[HUAWEI] dhcp snooping enable //使能全局DHCP Snooping功能
[HUAWEI] interface gigabitethernet 0/0/1 //进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable //使能DHCP Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 //进入直接或间接连接DHCP服务器的接口
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping trusted //配置该接口为信任接口
配置IPSG功能
配置基于静态绑定表的IPSG功能
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 //创建静态绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002 //创建静态绑定表项
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP报文检查告警阈值
配置基于DHCP Snooping动态绑定表的IPSG功能示例,配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP报文检查 告警阈值
配置ND Snooping功能
<HUAWEI> system-view
[HUAWEI] nd snooping enable //使能全局ND Snooping功能
[HUAWEI] interface gigabitethernet 0/0/1 //进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] nd snooping enable //使能ND Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 //进入直接或间接连接网关的接口
[HUAWEI-GigabitEthernet0/0/2] nd snooping trusted //配置该接口为信任接口
配置DAI功能
- 配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表或手动添加静态绑定表
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable //使能动态ARP检测功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address //配置 ARP报文绑定表匹配检查时只检查IP地址
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable //使能动态 ARP检测丢弃报文告警功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100 //配置动态ARP检测丢弃报文告警阈值
配置端口安全功能示例
-
如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动 态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作
[HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100 //配置端口安全动态MAC地址的老化时间
如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC 地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky //使能接口Sticky MAC功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作
如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC 地址,实现MAC地址表项的绑定。
<HUAWEI> system-view
[HUAWEI] port-security static-flapping protect //使能静态MAC地址漂移的检测功能
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作
配置端口隔离功能
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable //配置该接口的端口隔离功能
MAC安全配置
| 命令 | 备注 |
|---|---|
| mac-address static 0000-1111-2222 g0/0/1 vlan 1 PS:一个静态MAC只能绑定一个接口 |
添加静态MAC表项 |
| mac-address blackhole 0666-0666-0666 | 添加黑洞MAC表项 |
| mac-address aging-time 60 | 配置老化时间,默认300s |
| int g0/0/1 mac-address learning disable action ?discard ?forward(默认) discard:对报文源MAC地址进行匹配,当源MAC地址与MAC地址表项匹配时,对该报文进行转发;否则丢弃该报文。 |
关闭基于接口的MAC地址学习功能后对报文的处理动作 |
| vlan 10 mac-address learning disable **优先级:**基于VLAN > 基于接口 |
关闭基于VLAN的MAC地址学习功能 |
| int g0/0/1 mac-limit maximum 10 mac-limit action { discard \ forward } mac-limit alarm { disable \ enable } |
配置MAC地址数量上限配置超限后的动作配置超限后是否告警 |
MAC地址漂移
| 命令 | 备注 |
|---|---|
| mac-address flapping detection | 配置MAC地址漂移检测 |
| display mac-address flapping record | 查看MAC地址漂移记录 |
| undo mac-learning priority 2 allow-flapping int g0/0/1 mac-learning priority 2 mac-learning priority flapping-defend action ?discard ?forward(默认) mac-address flapping action \ trigger ?quit-vlan:退出当前VLAN ?err-down:关闭接口 |
配置禁止相同优先级发生漂移 配置接口学习MAC的优先级 配置禁止MAC地址漂移时报文的处理动作 配置发生漂移后的处理动作 |
| vlan 10 loop-detect eth-loop block-time 10 retry-times 3 | 配置MAC地址漂移检测 |
| error-down auto-recovery cause mac-address-flapping interval time-value | Error-Down自动恢复命令: |
| mac-address flapping quit-vlan recover-time time-value | Quit-VLAN自动恢复命令: |
版权声明:
本站所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自
曹少卿的Blog!
喜欢就支持一下吧
打赏
微信
支付宝
微信
支付宝