网络安全技术

以太网交换安全

  • 端口隔离
    设置端口隔离组:双向隔离-同组不能互通,单向隔离-不同端口组的接口之间隔离
    隔离模式:L2(二层隔离三层互通),ALL(二层三层全隔离)
    基本配置:
    port-isolate enable [ group group-id ] 端口隔离功能开启
    port-isolate mode { l2 | all } 配置端口隔离模式
    am isolate { interface-type interface-number } & < 1- 8 > 配置端口单向隔离
  • MAC地址表安全
    动态MAC地址表
    静态MAC地址表
    黑洞MAC地址表
    禁止MAC地址学习功能
    限制MAC地址学习数量
    基本配置:
    mac-address static mac-address interface-type interface-number vlan vlan-id 配置静态MAC表项
    mac-address blackhole mac-address [ vlan vlan-id ] 配置黑洞MAC表项
    mac-address aging-time aging-time 配置动态MAC表项的老化时间,默认300S
    [接口] mac-address learning disable [ action { discard | forward }] 关闭基于接口的MAC地址学习功能
    [vlan] mac-address learning disable 关闭继续VLAN的MAC地址学习功能
  • 端口安全
    保护动作:Restrict,Protect,Shutdown
    配置:
    port-security enable 开启端口安全
    port-security max-mac-num max-number 安全动态MAC学习限制数量,默认1个
    port-security mac-address mac-address vlan vlan-id 手工配置安全静态MAC地址表项(可选)
    port-security protect-action { protect | restrict | shutdown } 配置端口安全保护动作,取缺省为restrict
    port-security aging-time time [ type { absolute | inactivity }] 配置安全动态MAC老化时间(可选)
    port-security mac-address sticky 使能接口Sticy MAC功能
  • MAC地址漂移防止与检测
    防止MAC地址漂移:
    配置接口MAC地址学习优先级
    配置不允许相同优先级接口MAC地址漂移
    MAC地址漂移检测:
    基于VLAN的MAC地址漂移检测
    全局MAC地址漂移检测
    配置:
    mac-learning priority priority-id 配置接口学习MAC地址的优先级
    mac-learning priority flapping-defend action discard 配置禁止MAC地址漂移时报文的处理动作为丢弃
    undo mac-learning priority priority-id allow-flapping 配置不允许相同优先级的接口发生MAC地址漂移
    mac-address flapping detection 配置MAC地址漂移检测功能
    mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> 配置MAC地址漂移检测VLAN白名单(可选)
  • MACsec
    [接口] mka enable
    mka keyserver priority ?
  • 交换机流量控制
    配置:
    suppression mode { by-packets | by-bits } 配置流量抑制模式(可选)
    { broadcast-suppression | multicast-suppression | unicast-suppression } { percent-value | circir-value [ cbs cbs-value ] | packets packets-per-second } 配置流量抑制
    { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound 配置在接口出方向上阻塞报文
    broadcast-suppression threshold-value 配置VLAN的广播抑制速率
    风暴控制---只能在入方向上做
    配置:
    storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value 配置接口对报文的风暴控制
  • DHCP Snooping
    配置:
    dhcp snooping enable [ ipv4 | ipv6 ] 全局或者VLAN下使能
    dhcp snooping trusted interface interface-type interface-number 配置接口为“信任”状态
    dhcp snooping enable 接口视图下使能DHCP Snooping功能
    dhcp snooping trusted 接口状态下配置“信任”
    dhcp snooping check dhcp-giaddr enable vlan { vlan-id1 [ to vlan-id2 ]} 配置丢弃GIADDR字段非零的DHCP报文(可选)
  • IP Source Guard
    配置:
    user-bind static... 配置静态用户绑定
    ip source check user-bind enable 开启端口IPSG功能
    ip source check user-bind alarm enable 使用IP报文检查告警功能
    ip source check user-bind alarm threshold threshold 配置IP报文检查告警阈值

防火墙高级特性

VRRP
VGMP
HRP