【Sécurité de la commutation Ethernet】 --- Sécurité des ports et prévention et détection de la dérive des adresses MAC

Others 2022-04-28 01:53:52 views: null

Annuaire d'articles

avant-propos

Il est indiqué ici que la sécurité de la commutation Ethernet ne sera pas expliquée avec des exemples. Une fois la mise à jour de la sécurité de la commutation Ethernet terminée, il y aura une explication détaillée des points de connaissance appris pour construire une topologie complète.

1. Raisons de la sécurité portuaire

Certaines entreprises ont leurs exigences particulières, telles que l'exigence que chaque terminal soit connecté sous 只允许一台主机l' interface de connexion 不允许员工私自更换位置等, que nous pouvons utiliser 端口安全(port security)功能pour répondre aux exigences.

Deuxièmement, le type de configuration du port de sécurité

Nous nous concentrons sur l'explication de la signification des concepts. Pour la relation spécifique entre eux, veuillez consulter la carte mentale ci-dessous.

  • Adresse MAC dynamique sécurisée : on peut comprendre que ce type de dispositif de sécurité de port est configuré pour apprendre uniquement 第一个l'adresse MAC source des paquets arrivant ici et ajouter l'adresse MAC source à la liste de sécurité du dispositif.
  • Adresse MAC statique de sécurité : Il s'agit de 手工进行配置déterminer l'adresse MAC source qui entre dans la liste de sécurité de l'appareil, qui peut être configurée sur le serveur ou 可信任设备le port de connexion.
  • Adresse MAC collante : il s'agit des deux adresses ci-dessus. L'adresse MAC collante 结合体sera apprise dynamiquement et l'adresse MAC apprise sera 自动liée statiquement, ce qui convient 大范围固定机位使用.
    insérez la description de l'image ici

3. Causes de la prévention et de la détection de dérive d'adresse MAC

La dérive d'adresse MAC est généralement appelée oscillation de table d'adresses MAC. Les deux expriment la même signification. 他们含义为同一个交换机上或者一交换机同一vlan内有两个端口学习到了同一个mac地址Les entrées de table d'adresses MAC apprises ultérieurement seront écrasées. La même adresse MAC est fréquemment migrée entre deux ports. Le phénomène est __phénomène de dérive de table d'adresses mac__.
Il y a deux raisons possibles à la dérive de la table d'adresses mac. La première est dans le réseau 产生环路et la seconde est 黑客恶意攻击. Notre technologie de prévention et de détection de dérive d'adresse mac 主要是对第二种现象进行使用的, car l'utilisation du premier phénomène n'est qu'une solution temporaire, et si vous souhaitez éliminer la boucle, vous devez toujours configurer stp, mstp, rstp, etc.

Quatrièmement, la mise en œuvre de la prévention de la dérive des adresses MAC et le champ d'application spécifique

Il y a deux manières de s'en rendre compte 配置接口mac地址不同学习优先级(越高越优先)和配置不允许相同优先级接口mac地址飘移.

1. Mise en œuvre de la prévention de la dérive d'adresse MAC

__Configurer les différentes priorités d'apprentissage des adresses mac des interfaces : __ consiste à 某一个augmenter la priorité de l'adresse mac du port dans le port où se produit la dérive de la table d'adresses, de sorte que lorsqu'une même adresse mac est apprise par deux ou plusieurs ports , les adresses mac apprises par les ports de priorité inférieure ne sont pas conservées.
__La configuration ne permet pas à l'adresse MAC de l'interface de même priorité de dériver : __C'est pour apprendre le MAC source des paquets suivants. Si le MAC source appris est le même que le MAC source précédent, il sera directement rejeté (慎用).
insérez la description de l'image ici

2. Champ d'application spécifique

Le champ d'application spécifique est divisé en deux types, le premier est 基于vlan的mac地址飘移检测et le second est 基于v全局的mac地址飘移检测.
Détection de dérive d'adresse mac basée sur __vlan : __ peut détecter si toutes les adresses mac sous la dérive vlan spécifiée et peuvent choisir 告警、阻断端口、阻断mac地址d'autres actions de protection.
__Détection de dérive d'adresse mac globale basée sur V : __Peut détecter si toutes les adresses mac ont dérivé, si une dérive se produit, l'appareil, 报警到网关系统,用户也可指定发生飘移后处理动作par exemple :关闭接口或者退出vlan。
insérez la description de l'image ici

Cinq, commande de configuration de la sécurité des ports

1. Activer la fonction de sécurité du port

#缺省情况下,未使能端口安全功能
[Huawei-GigabitEthernet0/0/1] port-security enable

2. Configurez le numéro de limite d'apprentissage MAC dynamique de sécurité du port

#缺省情况下,接口学习的安全MAC地址限制数量为1
Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

3. (Facultatif) Configurez manuellement les entrées d'adresses MAC statiques sécurisées

Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id

4. (Facultatif) Configurer les actions de protection de la sécurité des ports

缺省情况下,端口安全保护动作为restrict。
Huawei-GigabitEthernet0/0/1] port-security protect-action {
    
     protect | restrict | shutdown

5. (Facultatif) Configurez le temps de vieillissement de l'adresse MAC dynamique sécurisée apprise par l'interface

缺省情况下,接口学习的安全动态MAC地址不老化。
Huawei-GigabitEthernet0/0/1] port-security aging-time time [ type {
    
     absolute | inactivity } ]

6. Activer la fonction Sticky MAC de l'interface

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

7. Configurez l'interface Sticky MAC learning limit number.

#使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

8. (Facultatif) Configurez manuellement une entrée sticky-mac

Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id

9. Afficher l'adresse MAC sécurisée :

#查看安全动态MAC表项。
display mac-address security [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
#查看配置的安全静态MAC表项。
display mac-address sec-config [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
#查看Sticky MAC表项。
display mac-address sticky [ vlan vlan-id | interface-type interface-number ] * [ verbose ]

6. Commandes de configuration de prévention et de détection de dérive d'adresse MAC

1. Configurez la priorité de l'interface pour apprendre l'adresse MAC

#缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。
[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id

2. Configurez l'action de traitement des paquets à rejeter lorsque le battement d'adresse MAC est interdit

#缺省情况下,禁止MAC地址漂移时报文的处理动作是转发
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard

3. La configuration n'autorise pas le battement d'adresse MAC sur les interfaces de même priorité

#缺省情况下,允许相同优先级的接口发生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping

4. Configurez la fonction de détection de battement d'adresse MAC

#缺省情况下,已经配置了对交换机上所有VLAN进行MAC地址漂移检测的功能。
Huawei-vlan2] mac-address flapping detection

5. (Facultatif) Configuration d'une liste blanche de VLAN pour la détection de flottement d'adresse MAC

#缺省情况下,没有配置MAC地址漂移检测的VLAN白名单
[Huawei] mac-address flapping detection exclude vlan {
    
     vlan-id1 [ to vlan-id2 ] } &<1-10>

6. (Facultatif) Configurez l'action de traitement de l'interface après la dérive

#缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
Huawei-GigabitEthernet0/0/1] mac-address flapping action {
    
     quit-vlan | error-down }

7. (Facultatif) Configurez le temps de vieillissement des entrées de battement d'adresse MAC

#缺省情况下,MAC地址漂移表项的老化时间为300[Huawei] mac-address flapping aging-time aging-time

8. Configurez la fonction de détection de battement d'adresse MAC

[Huawei-vlan2] loop-detect eth-loop {
    
     [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

La commande de configuration vient de l'officiel Huawei !

Je suppose que tu aimes

Origine blog.csdn.net/xiaobai729/article/details/124281421
conseillé
Classement
du quotidien
Plus
2024-08-26(0)
2024-08-25(0)
2024-08-24(0)
2024-08-23(0)
2024-08-22(0)
2024-08-21(0)
2024-08-20(0)
2024-08-19(0)
2024-08-18(0)
2024-08-17(0)

Code World

© 2018 codetd.com