【HCIE】04.网络安全技术（一）

端口隔离

在同一VLAN中可以隔离二层与三层通信，让同VLAN内的设备可以通信或者不可以通信。

定义一个端口隔离组，在一个组内无法互访，不在一个组里面可以进行互访

port-isolate enable group1  //使能端口隔离功能
port-isolate mdoe all //全局模式
实现二层隔离，三层互访
int g0/0/1
port-isloate enable group1
port-isolate mode l2  //全局模式
int vlan 100
arp-proxy inner-sub-vlan-proxy enable   因为2层隔离，所以无法发送arp广播，因此需要使用arp代理
单向隔离
3的数据包可以给1,1不能回给3会被交换机直接丢弃
int g0/0/1
am isolate g0/0/3 //实现单向隔离，无法转发到3口

MAC地址安全

MAC地址表项包括：

• 动态MAC地址表项，由接口通过报文中的源MAC地址学习获得，表项可老化，在系统复位，接口板热插播或接口板复位后，动态表项会丢失。
• 静态MAC地址表项，由用户手工配置并下发到各接口板，表项不老化。在系统复位，接口板热插拔或接口板复位后，保存的表项不会丢失。接口和MAC地址静态绑定后，其他接口收到源MAC是该MAC地址的报文将会被丢弃。
• 黑洞MAC地址表项，由用户手工配置，并下发到各接口板，表项不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

MAC地址表安全功能

静态MAC地址表项，将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项，可以保证安全通信。

黑洞MAC地址表项，防止黑洞通过MAC地址攻击网络，交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。怀疑有问题的MAC加入到黑名单中

动态MAC地址老化时间，合理配置动态MAC地址表项的老化时间，可以防止MAC地址爆炸式增长

禁止MAC地址学习功能，对于网络环境固定的场景或者已经明确转发路径的场景，通过配置禁止MAC地址学习功能，可以限制非信任用户接入，防止MAC地址攻击，提高网络安全性

限制MAC地址学习数量，在安全性较差的网络环境中，通过限制MAC地址学习数量，可以防止攻击者通过变换MAC地址进行攻击。

配置静态MAC
mac-address static 5411-1111-1111 g0/0/1 vlan 1 
配置黑洞MAC
mac-address blackhole 5422-2222-2222 vlan 1 黑洞MAC
配置老化时间
mac-address aging-time 10 MAC老化时间，如果是0代表永远不老化
禁止学习MAC地址
[huawei-g0/0/1]mac-address learning disable [action {discard|foreard}如果要学习则关闭或者丢弃]//关闭MAC地址学习
配置最大学习地址数量及违反规则后的动作
[huawei-g0/0/1]mac-limit maximum max-numMAC //地址学习数量
[huawei-g0/0/1]mac-limit action{discard | forward}  //超过了数量丢弃还是转发
[huawei-g0/0/1]mac-limit alarm {disable|enable} //超过了数量是否需要报警

端口安全

通过在交换机的特性接口上部署端口安全，可以限制接口的MAC地址学习数量，并且配置出现越线的惩罚措施

端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址，组织非法用户通过本接口和交换机通信，从而增强设备的安全性

• 安全动态MAC地址，例如限制数量为3，那么就前三个MAC地址的安全的。
• 安全静态MAC地址
• Sticky MAC地址，一开机没有配置静态的，都是动态的，用这条命令把动态转为静态的MAC地址。

[Huawei-g0/0/1]port-security enable //开启端口安全功能
[Huawei-g0/0/1]port-security max-mac-num max-number //限制学习MAC地址最大数量
[Huawei-g0/0/1]port-security mac-address mac-address vlan vlan-id //静态绑定MAC
[Huawei-g0/0/1]port-security protect-action {protect | restrict | shutdown} //超过数量动作
[Huawei-g0/0/1]port-security mac-address sticky //启用sticky

MAC地址漂移，可以解决环路

合理的MAC地址漂移：从一个接口学习到的MAC地址又从另一个接口上学习到了。

• 配置接口MAC地址学习优先级，高优先级学习到的正常，低优先级不学习的不正常
• 配置不允许相同优先级接口MAC地址漂移（相同优先级出现直接关闭后来者学习功能）

地址漂移检测功能

地址漂移检测
mac-address flapping detection  //开启地址漂移检测功能
int g0/0/1
  mac-address flapping trigger error-down //如果出现了地址漂移情况，error-down就关闭
int g0/0/2
  mac-address flapping trigger error-down
error-down auto-recovery cause mac-address-flapping interval 45 //error-down自动恢复时间

MACsec，提供二层数据安全传输

IPsec，除了VPN功能，主要用于加密，最早出现在IPV6中，后来引入到V4,可以把IP头部后面的内容加密，可以用来认证。将IPsec的功能引入到以太中。需要每台设备支持MACsec，比较消耗资源。

交换机流量抑制

如果某个设备接口接收到的报文流量过大可能会影响到其他业务，配置流量抑制可以阻止已知组播报文和已知单薄报文的大流量冲击，，用来限制广播，未知组播，未知单播，BUM流量，如果流量太多，需要将流量抑制到阈值再进行转发

流量抑制工作原理

在接口入方向上，设备支持对广播，未知组播，未知单播，已知组播和已知单薄报文按百分比，包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较，当入口流量超过配置的阈值时，设备会丢弃超额的流量。

流量抑制举例