【HCIE】04.网络安全技术(一)

简介: 【HCIE】04.网络安全技术

端口隔离

在同一VLAN中可以隔离二层与三层通信,让同VLAN内的设备可以通信或者不可以通信。

定义一个端口隔离组,在一个组内无法互访,不在一个组里面可以进行互访

port-isolate enable group1  //使能端口隔离功能
port-isolate mdoe all //全局模式
实现二层隔离,三层互访
int g0/0/1
port-isloate enable group1
port-isolate mode l2  //全局模式
int vlan 100
arp-proxy inner-sub-vlan-proxy enable   因为2层隔离,所以无法发送arp广播,因此需要使用arp代理
单向隔离
3的数据包可以给1,1不能回给3会被交换机直接丢弃
int g0/0/1
am isolate g0/0/3 //实现单向隔离,无法转发到3口

MAC地址安全

MAC地址表项包括:

  • 动态MAC地址表项,由接口通过报文中的源MAC地址学习获得,表项可老化,在系统复位,接口板热插播或接口板复位后,动态表项会丢失。
  • 静态MAC地址表项,由用户手工配置并下发到各接口板,表项不老化。在系统复位,接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
  • 黑洞MAC地址表项,由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

MAC地址表安全功能

静态MAC地址表项,将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项,可以保证安全通信。

黑洞MAC地址表项,防止黑洞通过MAC地址攻击网络,交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。怀疑有问题的MAC加入到黑名单中

动态MAC地址老化时间,合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长

禁止MAC地址学习功能,对于网络环境固定的场景或者已经明确转发路径的场景,通过配置禁止MAC地址学习功能,可以限制非信任用户接入,防止MAC地址攻击,提高网络安全性

限制MAC地址学习数量,在安全性较差的网络环境中,通过限制MAC地址学习数量,可以防止攻击者通过变换MAC地址进行攻击。

配置静态MAC
mac-address static 5411-1111-1111 g0/0/1 vlan 1 
配置黑洞MAC
mac-address blackhole 5422-2222-2222 vlan 1 黑洞MAC
配置老化时间
mac-address aging-time 10 MAC老化时间,如果是0代表永远不老化
禁止学习MAC地址
[huawei-g0/0/1]mac-address learning disable [action {discard|foreard}如果要学习则关闭或者丢弃]//关闭MAC地址学习
配置最大学习地址数量及违反规则后的动作
[huawei-g0/0/1]mac-limit maximum max-numMAC //地址学习数量
[huawei-g0/0/1]mac-limit action{discard | forward}  //超过了数量丢弃还是转发
[huawei-g0/0/1]mac-limit alarm {disable|enable} //超过了数量是否需要报警

端口安全

通过在交换机的特性接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越线的惩罚措施

端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址,组织非法用户通过本接口和交换机通信,从而增强设备的安全性

  • 安全动态MAC地址,例如限制数量为3,那么就前三个MAC地址的安全的。
  • 安全静态MAC地址
  • Sticky MAC地址,一开机没有配置静态的,都是动态的,用这条命令把动态转为静态的MAC地址。
[Huawei-g0/0/1]port-security enable //开启端口安全功能
[Huawei-g0/0/1]port-security max-mac-num max-number //限制学习MAC地址最大数量
[Huawei-g0/0/1]port-security mac-address mac-address vlan vlan-id //静态绑定MAC
[Huawei-g0/0/1]port-security protect-action {protect | restrict | shutdown} //超过数量动作
[Huawei-g0/0/1]port-security mac-address sticky //启用sticky

MAC地址漂移,可以解决环路

合理的MAC地址漂移:从一个接口学习到的MAC地址又从另一个接口上学习到了。

  • 配置接口MAC地址学习优先级,高优先级学习到的正常,低优先级不学习的不正常
  • 配置不允许相同优先级接口MAC地址漂移(相同优先级出现直接关闭后来者学习功能)

地址漂移检测功能

地址漂移检测
mac-address flapping detection  //开启地址漂移检测功能
int g0/0/1
  mac-address flapping trigger error-down //如果出现了地址漂移情况,error-down就关闭
int g0/0/2
  mac-address flapping trigger error-down
error-down auto-recovery cause mac-address-flapping interval 45 //error-down自动恢复时间

MACsec,提供二层数据安全传输

IPsec,除了VPN功能,主要用于加密,最早出现在IPV6中,后来引入到V4,可以把IP头部后面的内容加密,可以用来认证。将IPsec的功能引入到以太中。需要每台设备支持MACsec,比较消耗资源。

交换机流量抑制

如果某个设备接口接收到的报文流量过大可能会影响到其他业务,配置流量抑制可以阻止已知组播报文和已知单薄报文的大流量冲击,,用来限制广播,未知组播,未知单播,BUM流量,如果流量太多,需要将流量抑制到阈值再进行转发

流量抑制工作原理

在接口入方向上,设备支持对广播,未知组播,未知单播,已知组播和已知单薄报文按百分比,包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。

流量抑制举例


目录
相关文章
|
6天前
|
存储 监控 安全
单位网络监控软件:Java 技术驱动的高效网络监管体系构建
在数字化办公时代,构建基于Java技术的单位网络监控软件至关重要。该软件能精准监管单位网络活动,保障信息安全,提升工作效率。通过网络流量监测、访问控制及连接状态监控等模块,实现高效网络监管,确保网络稳定、安全、高效运行。
34 11
|
18天前
|
存储 安全 网络安全
云计算与网络安全:技术融合的双刃剑
在数字化浪潮中,云计算如同一股不可阻挡的力量,推动着企业和个人用户步入一个高效、便捷的新时代。然而,随之而来的网络安全问题也如影随形,成为制约云计算发展的阿喀琉斯之踵。本文将探讨云计算服务中的网络安全挑战,揭示信息保护的重要性,并提供实用的安全策略,旨在为读者呈现一场技术与安全的较量,同时指出如何在享受云服务带来的便利的同时,确保数据的安全和隐私。
25 6
|
17天前
|
存储 人工智能 安全
云计算与网络安全:技术融合与挑战
在数字化时代的浪潮中,云计算和网络安全已成为推动社会进步的两大关键技术。本文将探讨云计算服务的发展,网络安全的重要性,以及信息安全技术的演进。我们将通过实例分析,揭示云服务如何增强数据保护,网络安全措施如何应对新兴威胁,以及信息安全技术的创新如何为企业带来竞争优势。文章旨在为读者提供对云计算和网络安全领域的深入理解,并展示它们如何共同塑造我们的未来。
|
16天前
|
监控 安全 网络安全
云计算与网络安全:技术挑战与解决方案
随着云计算技术的飞速发展,其在各行各业的应用越来越广泛。然而,随之而来的网络安全问题也日益凸显。本文将从云服务、网络安全和信息安全等技术领域出发,探讨云计算面临的安全挑战及相应的解决方案。通过实例分析和代码示例,旨在帮助读者更好地理解云计算与网络安全的关系,提高网络安全防护意识。
|
19天前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
20天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
随着云计算技术的飞速发展,越来越多的企业和个人开始使用云服务。然而,云计算的广泛应用也带来了一系列网络安全问题。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析当前面临的挑战,并提出相应的解决方案。
50 3
|
16天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的挑战与机遇
随着云计算技术的飞速发展,网络安全问题也日益凸显。本文将探讨云计算环境下的网络安全挑战,以及如何通过技术创新来应对这些挑战。我们将分析云服务的安全特性,讨论信息安全的最佳实践,并展望未来云计算与网络安全的发展趋势。
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
43 17
|
16天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
17天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
40 10
下一篇
DataWorks