当前位置:   article > 正文

配置基于接口的ARP表项限制和端口安全(限制用户私自接入傻瓜交换机或非法主机接入)_园区接入交换机下面私接了很多傻瓜交换机

园区接入交换机下面私接了很多傻瓜交换机

应用场景:为了防止未授权用户接入网络、用户私自接入交换机、路由器等设备,给公司网络管理带来安全隐患。通过相关技术手段给予禁止,方法有如下二种:配置端口安全和配置基于接口的ARP表项限制

分别介绍二种方法的操作原理及配置:

一、端口安全:将设备端口学习到的动态MAC地址转换为安全MAC地址。在接口下使能此功能,并限制接口最大可学习的MAC表项数量,当超过设置值时,将丢弃后续用户的报文,从而确保接口的终端接入安全,增强设备安全性。

1.1 安全MAC地址分为以下三类:

(1)安全动态MAC地址(使能port-security但未使能Sticky,设备重启后表项会丢失,缺省情况下不会被老化,除非配置了老化时间)

(2)安全静态MAC地址(使能port-security时手工配置的静态MAC地址,不会被老化且设备重启表项不会丢失)

配置命令:port-security enable port-security mac-address 0001-0002-0003 vlan 10

(3)Sticky MAC地址(使能port-security且使能Sticky,不会被老化且设备重启表项不会丢失,推荐采用此种方式)

配置步骤(在接口视图下操作):

port-security enable

port-security mac-address sticky

port-security max-mac-num 10

port-security protect-action restrict

(4)端口安全的保护工作分为以下三种:

  1. restrict(丢弃,并上报告警,推荐采用此种方式)
  2. Protect(丢弃,不上报告警)
  3. Shutdown(接口状态修改为erro-down,并上报告警)

二、ARP表项限制:为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源被耗尽。在接口下配置接口能够学习到的最大动态ARP表项数量,超过此设置值后将不允许新增动态ARP表项。

场景1:ARP表项限制

 LSW1上配置

#

配置接口GE0/0/1(LSW1)最多可以学习到个VLAN10对应的动态ARP表项。

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

 arp-limit vlan 10 maximum 2

#

或者配置接口VLANIF10最多可以学习到2个动态ARP表项。

#

interface Vlanif10

 ip address 192.168.100.254 255.255.255.0

 dhcp select interface

arp-limit maximum 2

#

在LSW1上执行display arp all查看ARP表项记录,只学习到PC1和PC2的ARP表项。

执行display arp-limit查看ARP限制表项记录

除了PC3无法访问192.168.100.254,PC1和PC2都可以访问。图忘截了。

场景2:配置端口安全

LSW2配置:

#

vlan batch 10

#

interface GigabitEthernet0/0/5

 port link-type access

 port default vlan 10

#

PC4和PC5是可以访问网络的

在LSW1上查看ARP表项

在GE0/0/5端口上开启端口安全后,再来观察PC4和PC5能否访问网关

[Huawei-GigabitEthernet0/0/5]port-security enable

[Huawei-GigabitEthernet0/0/5]port-security protect-action protect

[Huawei-GigabitEthernet0/0/5]port-security mac-address sticky

[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 1

执行命令reboot,将LSW1重启,清除ARP表项(reset arp all命令在ENSP上无法使用)。

在PC4和PC5上分别测试能否访问网关192.168.100.254,发现只有PC4可以访问,PC5被拒绝了。

 

 执行display arp all查看GE0/0/1接口下学习到的ARP条目

推荐:将端口安全保护功能更改restrict,在丢弃报文的同时上报告警。

[Huawei-GigabitEthernet0/0/5]port-security protect-action restrict

设备输出的报警如下

Jun 27 2022 01:32:25-08:00 Huawei DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5

.25.191.3.1 configurations have been changed. The current change number is 13, t

he change loop count is 0, and the maximum number of records is 4095.

Jun 27 2022 01:32:32-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1

.2011.5.25.42.2.1.7.6 The number of MAC address on interface (10/10) GigabitEthe

rnet0/0/5 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3

:shutdown)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/400592
推荐阅读
相关标签
  

闽ICP备14008679号