内网网络安全技术_二层隔离三层互通

技术一、端口隔离

端口隔离（只针对同一个设备上的端口隔离组成员）

类型

双向隔离
        同一隔离组内相互隔离，不同组之间不隔离

单向隔离
        不同端口隔离组接口之间隔离，缺省下未配置
1
2
3
4
5

隔离模式

    二层  L2   二层隔离三层互通
        同一vlan下不同端口可以进行三层通信
        采用二层隔离三层互通的隔离模式时，在VLANIF接口上使能VLAN内Proxy ARP功能，配置arp-proxy inner-sub-vlan-proxy enable，可以实现同一VLAN内主机通信。

     三层  all   二层三层都隔离
           二三层隔离无法通信，无法通过网关互通
1
2
3
4
5
6

实验

1.实现二层三层全隔离，采用同一个隔离组

SW：
vlan batch 10 20
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
port-isolate mode all     //all 启用二层三层全隔离或者选用l2做二层隔离
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port-isolate enable group 1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

2.实现二层隔离三层互通，采用不同隔离组

#
vlan batch 10 20
# 
port-isolate mode l2     //配置端口隔离模式为二层隔离
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 arp-proxy inner-sub-vlan-proxy enable    //启用ARP代理
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port-isolate enable group 2
#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

二、MAC地址表安全

MAC地址表安全功能

静态mac地址表项

    上行设备或信任设备配置为静态mac
    mac-address  static   mac地址   接口   vlan  x
1
2

黑洞mac地址表

    防止通过mac地址攻击网络，交换机对黑洞mac进行丢弃
    mac-address blackhole    mac-address  vlan（选配）
1
2

动态老化时间

    合理配置老化时间，防止mac地址暴增
    mac-address   aging-time   x
1
2

禁止mac地址学习

    对于已经固定的场景，进行限制
    接口下 
        mac-address  learning  disable  action  discard 

    vlan下
        mac-address  leaning  disable
1
2
3
4
5
6

限制mac地址学习数量

    在安全性较差的环境中，限制数量，可以防止攻击者变换mac地址攻击
    接口  
        mac-limit  max x

    到达数量后的动作
        mac-limit  action   （discard  |  forward）

    达标后是否进行警告
        mac-limit  alarm  （disable  |  enable）

    配置基于vlan 限制mac地址学习
        vlan下
            mac-limit  max  x
1
2
3
4
5
6
7
8
9
10
11
12
13

实验

SW1

#
vlan batch 10 20
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet0/0/1
 mac-address learning disable action discard
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
 mac-limit maximum 2
 mac-limit alarm enable   //使能告警设置
# 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

实验结果 ：1接口接入的终端无法ping通网关，2接口接入的终端，在第三台设备进行通信的时候，会发生警告。

三、端口安全

端口安全

端口安全会将接口学习到的动态mac地址转换为一下三种
1

安全动态mac地址 --频繁接入

    使能端口安全而未使能sticky mac 功能时转换的mac地址
1

安全静态mac地址 --少量接入

    使能端口安全时手工配置的静态mac地址
1

sticky mac地址 --大量接入

    使能端口安全后又同时使能sticky mac功能后转换到的mac地址 
1

处理动作

    restrict：丢弃源mac地址不存在的报文并上报
    protect：只丢弃源mac不存在的报文，不上报
    shutdown接口状态被down，并上报告警
1
2
3

实验
延续刚才的拓扑图，利用2口测试
命令：

#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
 port-security enable    //使能端口安全
 port-security protect-action shutdown   //配置超过动作为shutdown
 port-security max-mac-num 2   //配置最大mac为2
#
1
2
3
4
5
6
7
8

当使用三台设备分别与网关通信的时候，产生了告警并且进行关闭端口处理、此时需要手工打开

四、MAC地址漂移防止与检测

在没有开启stp的时候，漂移指的是一个vlan内有两个接口学习到同一个mac地址的现象。

防止

出现因素：环路、或遭受网络攻击行为
在不启用stp的情况下，使用以下方式
    配置接口mac地址学习优先级    默认为0，越大越优先
        mac-learning  priority    x

    配置不允许相同优先级接口mac地址漂移
        undo mac-learning  priority  0  allow-flop
1
2
3
4
5
6
7

检测

错误 动作
    error-down  配置mac地址漂移检测的接口检测到以后，更改为error-down
    quit--vlan
        检测到以后退出vlan
1
2
3
4

实验：将两个终端的mac地址将另外一个终端的mac复制粘贴到另一个进行应用。

交换机启用时，由于默认启用漂移检测，则会检测到mac地址漂移，进行选举。

现在将1口的学习优先级提高，使设备选择1口

 mac-learning priority 3   //越大越优
1

五、MACsec

MACsec （部分设备支持）
提供二层数据安全传输
使用场景
在接入交换机与上联的汇聚或者核心之间配置

六、流量控制

流量抑制
    接口入方向，设置阈值，超过会丢弃，可以限制任意报文
    接口出方向，阻塞广播，未知组播，未知单播
    vlan下，限制vlan内广播报文
    命令
        全局下 suppression   mode    by-packets 包模式   默认   |  by-bits   字节模式
        接口下    broadcast-suppressior    广播


风暴控制
    可以对接口下发惩罚机制，而流量抑制只是对流量限制
    只可以对接口入方向报文流量配置阈值
1
2
3
4
5
6
7
8
9
10
11
12

七、DHCP snooping

保障业务的安全性，避免连接非法dhcp服务器
主要利用dhcp snooping信任和dhcp snooping 绑定表实现dhcp网络安全
命令

#
dhcp enable   //全局使能dhcn功能
#
dhcp snooping enable   //使能snooping功能
#
interface GigabitEthernet0/0/1    //上联dhcp服务器的接口或者核心/汇聚接口
 dhcp snooping  enable 
 dhcp snooping trusted
#
#########################
或者在vlan视图下

vlan 10
 dhcp snooping enable
 dhcp snooping trusted interface GigabitEthernet0/0/1
#

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

八、IPSG ip源防攻击、防止ip地址假冒

1.可以防止设备在不使用的时候，在外人假冒ip地址时做到防止攻击
2.防止在静态分配的场景下，通过ipsg限制非法的接入，防止内网资源浪费
配置位置
连接主机的接口
命令 全局
user-bind static ipadd | ipv6 mac-address interface x
使能功能 接口下 ip source check user-bind enable
警告 接口下 ip source check user-bind alarm enable
警告阈值 接口下 ip source check user-bind alarm threshold 100