赞
踩
DHCP故障排除及安全防护
问题一:网络中部分终端不能访问网关,终端ARP表频繁变化。网络中部分终端获取不到地址,获取的地址为169.254.X.X。请定位故障原因并解决。
答案解析:
网络中出现部分终端不能访问网关,终端ARP表频繁变化的现象可能是当前网络中存在ARP攻击行为所造成的,ARP攻击有如下两种:
ARP泛洪攻击:攻击者通过伪造大量源IP地址变化的ARP报文,使得网关设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致合法终端无法正常通信。
ARP欺骗攻击:攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成终端ARP表项频繁变化,导致合法用户或网络的报文通信异常。
ARP攻击解决方案如下:
1、配置ARP表项严格学习功能后,避免设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目。配置该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样可以拒绝大部分的ARP报文攻击。
ARP表项严格学习功能可基于全局或接口配置,以配置全局为例,执行以下命令:
system-view //进入系统视图。
arp learning strict //配置全局ARP表项严格学习功能。
2、配置ARP报文限速后,可避免设备对收到的大量ARP报文全部进行处理,从而可能导致CPU负荷过重而无法处理其他业务。使能ARP报文限速功能后,可以在全局或接口下配置ARP报文的限速值和限速时间。在ARP报文限速时间内,如果收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。
以配置接口ARP报文限速为例,执行以下命令:
interface interface-type interface-number //进入接口视图
arp anti-attack rate-limit enable //使能ARP报文限速功能
arp anti-attack rate-limit packet-number [ interval-value ] //配置ARP报文的限速阈值
3、配置临时ARP表项的老化时间来控制ARP Miss消息的触发频率。当判断设备受到攻击时,可以调大该时间,减小设备ARP Miss消息的触发频率,从而减小攻击对设备的影响。执行以下命令:
system-view //进入系统视图
interface interface-type interface-number //进入接口视图
arp-fake expire-time expire-time //配置临时ARP表项的老化时间
4、在网关设备上部署ARP表项固化功能,可防御欺骗网关攻击。配置该功能后,网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。
可在全局下配置ARP表项固化功能,执行以下命令:
system-view //进入系统视图。
arp anti-attack entry-check fixed-all enable //配置ARP表项固化功能
5、在网关设备上配置发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。
可在全局或VLANIF接口下配置发送免费ARP报文功能,以全局为例,执行以下命令:
system-view //进入系统视图
arp gratuitous-arp send enable //使能发送免费ARP报文的功能
以上功能均为防护ARP攻击的常见防护手段,在现网中可根据网络环境、设备性能等实际情况选择增配其他防护功能,如:ARP Miss消息限速、基于接口的ARP表项限制、动态ARP检测、DHCP触发ARP学习、ARP防网关冲突、ARP报文合法性检查等。
网络中部分终端获取不到地址,获取的地址为169.254.X.X。可能存在以下故障原因,具体分析如下:
故障可能原因1:DHCP Server未配置IP地址池或配置错误
在DHCP Server上执行以下命令:
system-view //进入系统视图
display ip pool //检查已配置的IP地址池信息是否存在未配置或者配置错误
undo ip pool xxx //如果存在配置错误ip地址池,先执行删除
ip pool xxx //创建全局地址池
gateway-list x.x.x.x //配置DHCP Client的网关地址
network x.x.x.x mask x.x.x.x //配置全局地址池可动态分配的IP地址范围
故障可能原因2:DHCP Server在与客户端侧相连的接口下未开启了DHCP Server功能
在DHCP Server上执行以下命令:
Interface vlanif XX
display this //查看当前接口下配置,确认是否开启DHCP Server功能
dhcp select global //开启接口采用全局地址池的DHCP Server功能
故障可能原因3:IP地址池中无可供分配的地址
在DHCP Server上执行以下命令:
system-view //进入系统视图
display ip pool name XXX //查看指定全局地址池的配置信息,确认是否有可用IP地址
ip pool xxx //进入全局地址池
undo network //删除当前全局地址池可动态分配的IP地址范围
network x.x.x.x mask x.x.x.x //重新配置全局地址池可动态分配的IP地址范围
如果实际的用户终端数目多于地址池中可供分配的地址数目,需要调大地址池中地址范围,通过减小掩码长度来调大地址范围。
故障可能原因4:交换设备针对用户终端所属VLAN透传错误
在接入交换机和汇聚交换机执行以下命令:
system-view //进入系统视图
display port vlan //查看是否正确透传了用户终端所属的VLAN
interface Gx/x/x //进入接口视图
port trunk allow-pass vlan X // X为用户终端所属VLAN
故障可能原因5:接入交换机开启了dhcp snooping功能,信任接口配置错误
在接入交换机上执行以下命令:
system-view //进入系统视图
display dhcp snooping //确认信任接口是否配置错误
interface Gx/x/x //进入配置错误的接口视图
undo dhcp snooping trusted //删除信任接口配置
interface Gx/x/x //进入与DHCP Server互联的接口视图
dhcp snooping trusted //配置当前接口为信任接口
故障可能原因5:网络中存在针对DHCP报文的过滤行为
在DHCP Server上执行以下命令:
system-view //进入系统视图
display acl all //查看是否存在针对源目端口号为67/68的ACL
acl 3xxx //进入ACL视图
undo rule x //删除针对源目端口号为67/68的规则
故障可能原因6:网络中存在DHCP攻击(DHCP Server服务拒绝攻击)
若在网络中存在DHCP用户恶意申请IP地址,将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。查看设备接收到的各类型DHCP报文的统计信息是否存在异常,如果出现大量的被丢弃的DHCP报文,疑似网络中可能存在DHCP攻击行为。
在DHCP Server设备上执行以下命令:
display dhcp statistics //确定DHCP报文统计信息是否存在异常
然后在接入设备上执行以下命令:
dhcp snooping enable //全局开启dhcp snooping功能
interface GigabitEthernet x/x/x //进入接口视图(用户侧接口)
dhcp snooping enable //接口开启dhcp snooping功能
dhcp snooping max-user-number X //配置设备允许学习的DHCP Snooping绑定表项的最大个数
dhcp snooping check dhcp-chaddr enable //使能对报文的CHADDR字段进行检查功能
问题二:如何防止非法有线设备接入,写出你的方案(4分)
变种1:为了保证接入安全,怎样防止非法有线用户接入,请给出方案
变种2:当前网络需要优化,为防止非法有线终端接入,请写出方案。
解决方案:通过在局域网中部署“网络接入控制”系统来防止非法终端接入
NAC(Network Admission Control)称为网络接入控制,是一种“端到端”的安全结构,包括802.1X认证、MAC认证与Portal认证。NAC安全构架从用户终端角度考虑内部网络安全,实现对接入用户进行安全控制,提供了“端到端”的安全保证。从而保证了网络通信业务的安全性。
802.1x认证本地认证
前提条件
802.1x提供了一个用户身份认证的实现方案,但是仅仅依靠802.1x不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案,因此,需要首先完成以下配置任务:
1.配置AAA客户端,即用户所属的认证域及其使用的AAA方案。
2.如果需要通过RADIUS或HWTACACS服务器进行认证,则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
3.如果需要本地认证,则应该在接入设备上手动添加接入用户的用户名和密码。
在接入设备执行以下命令:
dot1x enable //使能全局802.1x认证
aaa
local-user huawei password simple huawei
local-user huawei service-type 8021x //添加本地接入用户
interface Gx/x/x
dot1x enable //使能接口的802.1x认证
dot1x port-method port //指定接口上用户的接入方式为基于接口
客户端认证软件输入用户名“huawei”,密码“huawei”可以成功上线,执行display access-user可以查看上线用户的信息。
缺省情况下,接口下接入用户的认证方式为基于MAC,该接口下的所有用户上线时均需要单独认证。
配置认证方式为基于接口时,只要该接口下的第一个用户认证成功后,其他802.1x用户无须认证。
MAC认证:
前提条件
MAC认证提供了一个用户身份认证的实现方案,但是仅仅依靠MAC认证不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案,因此,需要首先完成以下配置任务:
1.配置AAA客户端,即用户所属的认证域及其使用的AAA方案。
2.如果需要通过RADIUS或HWTACACS服务器进行认证,则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
3.如果需要本地认证,则应该在接入设备上手动添加接入用户的用户名和密码。
在接入设备执行以下命令:
创建并配置RADIUS服务器模板、AAA认证方案以及认证域
radius-server template xxx //进入RADIUS服务器模板视图
radius-server authentication x.x.x.x x //配置RADIUS认证服务器
radius-server shared-key cipher hello //配置RADIUS共享密钥
创建AAA方案“xxx”并配置认证方式为RADIUS
aaa
authentication-scheme xxx //创建一个认证方案并进入认证方案视图,或者直接进入一个已经存在的认证方案视图
authentication-mode radius //配置认证模式为RADIUS认证
创建认证域“isp1”,并在其上绑定AAA认证方案“xxx”与RADIUS服务器模板“rd1”
aaa
domain isp1 //创建域并进入域视图
authentication-scheme xxx //配置域的认证方案
radius-server rd1 //配置域的RADIUS服务器模板
配置全局默认域为“isp1”。
配置MAC认证。
在全局和接口下使能MAC认证。
mac-authen //使能全局MAC认证功能
interface ethernet x/x/x
mac-authen //使能接口的MAC认证功能。
mac-authen max-user xxx //配置接口允许接入的MAC认证最大用户数量
Portal认证:
在配置完成指向Portal服务器的参数后,设备即能够与Portal服务器进行通信。此时若需对接入用户进行Portal认证,还必须使能设备的Portal认证功能。
针对外置Portal服务器,仅需将配置的Portal服务器模板绑定到VLANIF接口或WAN侧接口上即可对该接口下的用户进行Portal认证。而对于内置Portal服务器,则需先使能内置Portal服务器功能,然后使能设备二层接口的Portal认证功能,才能够对该接口下的用户进行Portal认证。
1.如果内置Portal认证
portal local-server ip x.x.x.x // 配置内置Portal服务器的IP地址
portal local-server https ssl-policy xxx //使能Portal认证功能。
portal local-server enable interface x/x/x //使能Portal认证功能。
2.外置Portal认证
interface interface-type x/x/x
web-auth-server xxx direct | layer3 //使能Portal认证功能
web-auth-server xxx
shared-key cipher xxxxx //配置设备与Portal服务器信息交互的共享密钥为xxxxx,并以密文形式显示
变种4:对于非法接入的主机,要求不能获取DHCP服务器分配地址
1、DHCP地址池中绑定IP和MAC
在DHCP地址池中将合法用户的MAC静态绑定相应的IP地址,然后IP地址池多余的IP地址排除在地址池之外。当增加合法用户的时候,在静态地址池中增加相应的MAC和IP的绑定。可以有效的防止非法用户接入,配置如下:
ip pool xxx //创建地址池
network x.x.x.x mask x.x.x.x //配置地址池空间
excluded-ip-address //排除地址池中多余地址
static-bind IP-ADDR mac-address MAC_ADDR //绑定合法用户IP和MAC
优点:固定IP和MAC,非法用户如果不修改自己的MAC地址为合法地址是无法通过DHCP获取IP地址的
缺点:管理员需要收集所有合法MAC,增加合法用户的时候,需要手工添加,配置繁琐,并且Windows操作系统可以修改非法MAC为合法MAC进行攻击。
2、开启端口端口安全功能
首先将合法用户上线,通过sticky的方式将合法用户的MAC变成安全的MAC,并设置好相应端口相应端口对应的合法MAC地址数量
当出现非法用户上线的时候,可以通过配置执行安全动作,例如丢弃并告警,那么非法用户自然无法获取IP地址。
优点:现网使用的比较常见,配置量少,而且交换机断电重启或者插拔业务绑卡或接口线路也不会导致该sticky的安全表现消失,而且容易大规模部署。
缺点:必须让合法用户先上线转变为安全MAC,如果非法用户先上线,那么可能导致合法用户无法正常上线,而产生安全隐患 。并且Windows操作系统可以修改非法MAC为合法MAC进行攻击。
具体部署如下:
interface GigabitEthernet0/0/1 //进入接口
port-security enable //开启端口安全
port-security max-mac-num X //端口安全MAC地址数量
port-security mac-address sticky 使用sticky的方式转化安全MAC
port-security protect-action res //收到非法MAC用户数据执行的动作为丢弃并告警
3、准入控制(写802.1X,MAC认证,portal认证)
略,如上。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。