「Network Switching」- 物理地址表安全(MAC)

  CREATED BY JENKINSBOT

实现物理地址表安全的方法如下:

静态物理地址表项(mac-address static …)

解释:将某些固定的上行设备或者信任用户的物理地址配置为静态物理表项,可以保证其安全通信。其他端口接收到该物理地址的报文将会被丢弃;

场景:为了防止一些关键设备(如各种服务器或上行设备)被非法用户恶意修改其物理地址表项,可将这些设备的物理地址配置为静态物理地址表项,因为静态物理地址表项优先于动态物理地址表项,不易被非法修改;

配置: 

# <mac-address>:必须是单播物理地址,不能是组播和广播物理地址;
# <vlan-id>:必须已经创建,并且已经加入绑定的端口;
[Huawei] mac-address static <mac-address> interface-type interface-number vlan <vlan-id>

黑洞物理地址表项(mac-address blockhole …)

解释:防止恶意用户通过物理地址攻击网络,交换机对来自黑洞物理地址或去往黑洞物理地址的报文采取丢弃处理;

场景:为了防止无用物理地址表项占用物理地址表,同时为了防止黑客通过物理地址攻击用户设备或网络,可将那些有着恶意历史的非信任物理地址配置为黑洞物理地址,使设备在收到目的物理或源物理地址为这些黑洞物理地址的报文时,直接予以丢弃,不修改原有的物理地址表项,也不增加新的物理地址表项;

配置: 

# <mac-address>:当设备收到目的物理或源物理地址为黑洞物理地址的报文,直接丢弃;
[Huawei] mac-address blackhole <mac-address> [ vlan vlan-id ]

动态物理地址老化时间(mac-address aging-time …)

解释:合理配置动态物理地址表项的老化时间,可以防止物理地址爆炸式增长。(超量的 物理地址 不会在被学习新地址,进而导致未知单播泛洪,降低网络安全)

场景:为了减轻手工配置静态物理地址表项,华为 S 系列交换机缺省已使能了动态物理地址表项学习功能。但为了避免物理地址表项爆炸式增长,可合理配置动态物理表项的老化时间,以便及时删除物理地址表中的废弃物理地址表项;

配置: 

[Huawei] mac-address aging-time aging-time                                      # 默认 300s(华为)

禁止物理地址学习功能(mac-address learning …)

解释:对于网络环境固定的场景或者已经明确转发路径的场景,通过配置禁止物理地址学习功能,可以限制非信任用户接入,防止物理地址攻击,提高网络安全性;

场景:为了提高网络的安全性,防止设备学习到非法的物理地址,错误地修改物理地址表中的原物理地址表项,可以选择关闭设备上指定接口或指定 VLAN 中所有接口的物理地址学习功能,这样设备将不再从这些接口上学习新的物理地址;

配置: 

# 关闭基于接口的物理地址学习功能(在默认情况下,学习功能是使能的):
# <forward>:关闭物理地址学习功能的缺省动作,即对报文进行转发;
# <discard>:会对报文的源物理地址进行匹配,当接口和物理地址与物理地址表项匹配时,则对该报文进行转发。当接口和物理地址与物理地址表项不匹配时,则丢弃该报文;
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

# 关闭基于 VLAN 的物理地址学习功能(在缺省情况下,VLAN 的物理地址学习功能是使能的):
[Huawei-vlan2] mac-address learning disable

# 补充说明:
# 1)当同时配置基于接口和基于 VLAN 的禁止物理地址学习功能时,基于 VLAN 的优先级要高于基于接口的优先级配置;

限制物理地址学习数量(mac-limit maximum …)

解释:在安全性较差的网路环境中,通过限制物理地址学习数量,可以防止攻击者通过变换物理地址进行攻击;

场景:配置限制物理地址学习数,当超过限制数时不再学习物理地址,同时可以配置当物理地址数达到限制后对报文采取的动作,从而防止物理地址表资源耗尽,提高网络安全性;

配置: 

# 配置基于 Interface 的限制物理地址学习数
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num                         # 缺省情况下,不限制物理地址学习数;

# 配置当物理地址数达到限制后,对报文应采取的动作
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }            # 缺省情况下,对超过物理地址学习数限制的报文采取丢弃动作;

# 配置当物理地址数达到限制后是否进行告警
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }              # 缺省情况下,对超过物理地址学习数限制的报文进行告警;

# 配置基于 VLAN 的限制物理地址学习数
[Huawei-vlan2] mac-limit maximum max-num                                        # 缺省情况下,不限制物理地址学习数;