《路由交换技术》部署和实施企业网络安全（任务1）

部署和实施企业网络安全引例描述本项目忽略广州分公司的网络拓扑，运维部工程师需要完成的任务如下。（1）按照IP地址规划配置各台设备的IP地址。（2）在深圳总部园区网络部署端口安全、DHCPSnooping和DAI技术，防止总部园区网络设备和主机遭受MAC地址泛洪攻击、DHCP攻击和ARP欺骗攻击，实现员工主机安全接入总部园区网络。（3）在深圳总部部署ACL，实现数据访问控制和网络设备安全管理。（4）在深圳总部与重庆办事处边界路由器之间部署IPSecVPN，实现办事处员工通过Internet安全访问公司总部服务器区的数据。引例描述项目任务任务4-1部署和实施总部园区网络主机安全接入任务4-2部署和实施ACL实现网络访问控制任务4-3部署和实施IPSecVPN实现办事处和总部数据安全传输任务4-1部署和实施总部园区网络主机安全接入任务陈述知识准备任务实施任务陈述本任务主要要求读者夯实和理解MAC地址泛洪攻击原理、端口安全工作原理、DHCP饿死和欺骗攻击原理、DHCPSnooping工作原理、ARP欺骗攻击原理和DAI工作原理以及端口安全、DHCPSnooping和DAI基本配置命令等网络知识，通过在企业交换设备上部署和实施接入层安全技术，来掌握端口安全配置和验证、DHCPSnooping配置和验证以及DAI配置和验证等职业技能，全面提升企业网络安全水平。知识准备1.1端口安全1.2DHCPSnooping1.3动态ARP检测1.1端口安全端口隔离以太交换网络中为了实现报文之间的二层隔离，用户通常将不同的端口加入不同的VLAN，实现二层广播域的隔离。大型网络中，业务需求种类繁多，只通过VLAN实现报文二层隔离，会浪费有限的VLAN资源。如下图所示，由于某种业务需求，PC1与PC2虽然属于同一个VLAN，但是要求它们在二层不能互通（但允许三层互通），PC1与PC3在任何情况下都不能互通，但是VLAN3里的主机可以访问VLAN2里的主机。那么该如何解决这个问题呢？VLAN2VLAN3PC1PC2PC3PC4PC5PC6Switch1.1端口安全端口隔离采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。VLAN2PC1PC2PC3SwitchRouterGE0/0/3GE0/0/2GE0/0/1

端口隔离组Port-isolateGroupIP:10.1.1.1/24IP:10.1.1.2/24IP:10.1.1.3/24缺省情况下，同属于一个VLAN的PC1和PC2能够二层互通。将GE0/0/1和GE0/0/2端口部署到同一个端口隔离组，则PC1与PC2无法实现二层互通。1.1端口安全端口隔离端口隔离双向隔离单向隔离隔离模式L2（二层隔离三层互通）ALL（二层三层都隔离）隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信。缺省情况下，端口隔离模式为二层隔离三层互通。同一VLAN的不同端口下用户二三层彻底隔离无法通信。隔离类型同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能。为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现。缺省情况下，未配置端口单向隔离。1.1端口安全端口隔离基本命令[Huawei-GigabitEthernet0/0/1]port-isolateenable

[

group

group-id

]使能端口隔离功能缺省情况下，未使能端口隔离功能。如果不指定group-id参数时，默认加入的端口隔离组为1。[Huawei]port-isolatemode

{

l2

|

all

}（可选）配置端口隔离模式缺省情况下，端口隔离模式为L2，L2

端口隔离模式为二层隔离三层互通，all

端口隔离模式为二层三层都隔离。[Huawei-GigabitEthernet0/0/1]amisolate

{interface-type

interface-number

}&<1-8>配置端口单向隔离am

isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后，接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A。缺省情况下，未配置端口单向隔离。1.1端口安全MAC地址表安全MAC地址表项类型包括：动态MAC地址表项：由接口通过报文中的源MAC地址学习获得，表项可老化。在系统复位、接口板热插拔或接口板复位后，动态表项会丢失。静态MAC地址表项：由用户手工配置并下发到各接口板，表项不老化。在系统复位、接口板热插拔或接口板复位后，保存的表项不会丢失。接口和MAC地址静态绑定后，其他接口收到源MAC是该MAC地址的报文将会被丢弃。黑洞MAC地址表项：由用户手工配置，并下发到各接口板，表项不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。SwitchGE0/0/1GE0/0/2GE0/0/3PC1PC2PC3MAC地址VLAN接口TYPE0021-0000-000110GE0/0/1Static0021-0000-000210GE0/0/2Blackhole0021-0000-000310GE0/0/3Dynamic[Switch]displaymac-address00210000-00020021-0000-00031.1端口安全MAC地址表安全静态MAC地址表项黑洞MAC地址表项动态MAC地址老化时间禁止MAC地址学习功能限制MAC地址学习数量实现MAC地址表安全将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项，可以保证其安全通信。防止黑客通过MAC地址攻击网络，交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。合理配置动态MAC地址表项的老化时间，可以防止MAC地址爆炸式增长。对于网络环境固定的场景或者已经明确转发路径的场景，通过配置禁止MAC地址学习功能，可以限制非信任用户接入，防止MAC地址攻击，提高网络安全性。在安全性较差的网路环境中，通过限制MAC地址学习数量，可以防止攻击者通过变换MAC地址进行攻击。1.1端口安全MAC地址表安全[Huawei]mac-addressstaticmac-address

interface-typeinterface-numbervlanvlan-id配置静态MAC表项指定的VLAN必须已经创建并且已经加入绑定的端口；指定的MAC地址，必须是单播MAC地址，不能是组播和广播MAC地址。[Huawei]mac-addressblackholemac-address[vlanvlan-id]配置黑洞MAC表项当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文，直接丢弃。[Huawei]mac-addressaging-timeaging-time配置动态MAC表项的老化时间1.1端口安全MAC地址表安全[Huawei-GigabitEthernet0/0/1]mac-addresslearningdisable[action{discard|forward}]关闭基于接口的MAC地址学习功能缺省情况下，接口的MAC地址学习功能是使能的：关闭MAC地址学习功能的缺省动作为forward，即对报文进行转发。当配置动作为discard时，会对报文的源MAC地址进行匹配，当接口和MAC地址与MAC地址表项匹配时，则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时，则丢弃该报文。[Huawei-vlan2]mac-addresslearningdisable关闭基于VLAN的MAC地址学习功能缺省情况下，VLAN的MAC地址学习功能是使能的。当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时，基于VLAN的优先级要高于基于接口的优先级配置。1.1端口安全MAC地址表安全[Huawei-GigabitEthernet0/0/1]mac-limitmaximummax-num配置基于接口限制MAC地址学习数缺省情况下，不限制MAC地址学习数。[Huawei-vlan2]mac-limitmaximummax-num配置基于VLAN限制MAC地址学习数缺省情况下，不限制MAC地址学习数。[Huawei-GigabitEthernet0/0/1]mac-limitaction{discard|forward}缺省情况下，对超过MAC地址学习数限制的报文采取丢弃动作。[Huawei-GigabitEthernet0/0/1]mac-limitalarm{disable|enable}缺省情况下，对超过MAC地址学习数限制的报文进行告警。配置当MAC地址数达到限制后，对报文应采取的动作配置当MAC地址数达到限制后是否进行告警1.1端口安全端口安全技术背景企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC接入网络（限制MAC地址接入数量）。如果有员工试图在某个接口下级联一台小交换机或集线器从而扩展上网接口，那么这种行为应该被发现或被禁止，如左图所示。另一些企业还可能会要求只有MAC地址为可信任的终端发送的数据帧才允许被交换机转发到上层网络，员工不能私自更换位置（变更交换机的接入端口），如右图所示。通过交换机的端口安全（portsecurity）特性可以解决这些问题。Switch1GE0/0/1GE0/0/2PC1PC3PC2Switch2SwitchGE0/0/1GE0/0/2PC1PC1MAC:0011-0022-0033PortMACGE0/0/10011-0022-0033MAC:0011-0022-00331.1端口安全端口安全概述通过在交换机的特定接口上部署端口安全，可以限制接口的MAC地址学习数量，并且配置出现越限时的惩罚措施。端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC，安全静态MAC和StickyMAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。1.1端口安全安全MAC地址分为以下类型：安全MAC地址通常与安全保护动作结合使用，常见的安全保护动作有：Restrict：丢弃源MAC地址不存在的报文并上报告警。Protect：只丢弃源MAC地址不存在的报文，不上报告警。Shutdown：接口状态被置为error-down，并上报告警。类型定义特点安全动态MAC地址使能端口安全而未使能StickyMAC功能时转换的MAC地址。设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。安全静态MAC地址使能端口安全时手工配置的静态MAC地址。不会被老化，手动保存配置后重启设备不会丢失。StickyMAC地址使能端口安全后又同时使能StickyMAC功能后转换到的MAC地址。不会被老化，手动保存配置后重启设备不会丢失。1.1端口安全[Huawei-GigabitEthernet0/0/1]port-securityenable使能端口安全功能缺省情况下，未使能端口安全功能。[Huawei-GigabitEthernet0/0/1]port-securitymax-mac-nummax-number配置端口安全动态MAC学习限制数量缺省情况下，接口学习的安全MAC地址限制数量为1。[Huawei-GigabitEthernet0/0/1]port-securitymac-address

mac-address

vlan

vlan-id（可选）手工配置安全静态MAC地址表项[Huawei-GigabitEthernet0/0/1]port-securityprotect-action{protect|restrict|shutdown}（可选）配置端口安全保护动作缺省情况下，端口安全保护动作为restrict。1.1端口安全[Huawei-GigabitEthernet0/0/1]port-securityaging-time

time[type{absolute|inactivity}]（可选）配置接口学习到的安全动态MAC地址的老化时间缺省情况下，接口学习的安全动态MAC地址不老化。[Huawei-GigabitEthernet0/0/1]port-securitymac-addresssticky使能接口StickyMAC功能缺省情况下，接口未使能StickyMAC功能。[Huawei-GigabitEthernet0/0/1]port-securitymax-mac-num

max-number配置接口StickyMAC学习限制数量。[Huawei-GigabitEthernet0/0/1]port-securitymac-addressstickymac-address

vlan

vlan-id（可选）手动配置一条sticky-mac表项使能接口StickyMAC功能后，缺省情况下，接口学习的MAC地址限制数量为1。1.2DHCPSnooping1342发现阶段DHCPDISCOVER（广播）提供阶段DHCPOFFER（单播）请求阶段DHCPREQUEST（广播）确认阶段DHCPACK（单播）DHCPClientDHCPServerDHCPClientDHCPRelayDHCPServer1342发现阶段DHCPDISCOVER提供阶段中继DHCPOFFER请求阶段DHCPREQUEST确认阶段中继DHCPACK中继单播DHCPDISCOVER服务器单播DHCPOFFER中继单播DHCPREQUEST服务器单播DHCPACKDHCP无中继场景DHCP有中继场景1.2DHCPSnooping为了保证网络通信业务的安全性，引入了DHCPSnooping技术，在DHCPClient和DHCPServer之间建立一道防火墙，以抵御网络中针对DHCP的各种攻击。DHCPSnooping是DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。目前DHCP协议在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCPServer仿冒者攻击、DHCPServer的拒绝服务攻击、仿冒DHCP报文攻击等。DHCPSnooping主要是通过DHCPSnooping信任功能和DHCPSnooping绑定表实现DHCP网络安全。1.2DHCPSnoopingDHCPSnooping的信任功能，能够保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCPSnooping信任功能将接口分为信任接口和非信任接口：信任接口正常接收DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文。设备只将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器，不会向非信任接口转发。非信任接口收到的DHCPServer发送的DHCPOFFER、DHCPACK、DHCPNAK报文会被直接丢弃。DHCPSnooping信任接口DHCPSnooping非信任接口使能DHCPSnooping的接口合法DHCPOFFER/ACK/NAK报文非法DHCPOFFER/ACK/NAK报文DHCP客户端请求报文DHCPClient1非法DHCPServerDHCPClient2合法DHCPServer1.2DHCPSnooping二层接入设备使能了DHCPSnooping功能后，从收到DHCPACK报文中提取关键信息（包括PC的MAC地址以及获取到的IP地址、地址租期），并获取与PC连接的使能了DHCPSnooping功能的接口信息（包括接口编号及该接口所属的VLAN），根据这些信息生成DHCPSnooping绑定表。由于DHCPSnooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系，故通过对报文与DHCPSnooping绑定表进行匹配检查，能够有效防范非法用户的攻击。DHCPServerDHCPClient1192.168.1.98/24MAC-1DHCPClient2192.168.1.99/24MAC-2DHCPACKGE0/0/1GE0/0/2GE0/0/3IPMACVLAN接口Lease192.168.1.98MAC-11GE0/0/11192.168.1.99MAC-21GE0/0/211.2DHCPSnooping[Huawei]dhcpsnoopingenable[ipv4|ipv6]全局使能DHCPSnooping功能[Huawei-vlan2]dhcpsnoopingenableVLAN视图下使能DHCPSnooping功能在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效。[Huawei-vlan2]dhcpsnoopingtrustedinterfaceinterface-typeinterface-numberVLAN视图下dhcpsnoopingtrustedinterface在VLAN视图下执行此命令，则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效。1.2DHCPSnooping[Huawei-GigabitEthernet0/0/1]dhcpsnoopingenable接口视图下使能DHCPSnooping功能[Huawei-GigabitEthernet0/0/1]dhcpsnoopingtrusted接口视图下配置接口为“信任”状态缺省情况下，设备接口为非信任状态。[Huawei]dhcpsnoopingcheckdhcp-giaddrenablevlan{vlan-id1

[tovlan-id2

]}

（可选）配置丢弃GIADDR字段非零的DHCP报文使能检测DHCPRequest报文中GIADDR字段是否非零的功能。此命令同时可以在VLAN视图或接口视图下进行配置。在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则对该接口下的所有DHCP报文命令功能生效。1.3动态ARP检测网络中针对ARP的攻击层出不穷，中间人攻击是常见的ARP欺骗攻击方式之一。中间人攻击（Man-in-the-middleattack）是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。1.3动态ARP检测动态ARP检测DAI