配置基于接口的ARP表项限制和端口安全(限制用户私自接入傻瓜交换机或非法主机接入)

      最后更新:2022-06-29 10:27:24 手机定位技术交流文章

      应用场景:为防止未经授权用户私下访问开关、路由器和其他设备进入网络,公司网络管理带来了安全风险。 禁止通过相关技术手段,其中两个是:配置端口安全和配置基于接口的ARP表项限制

      分别介绍了两种方法的操作原理和配置:

      端口安全: 将由设备端口学习的动态MAC地址转换为安全的MAC地址.为了在接口下启用此功能,并限制从接口中学习的MAC表项目的最大数量,当超过设置值时,将随后的用户丢弃消息,从而确保接口端口的访问是安全的,增强设备安全性。

      1.1安全MAC地址分为三个类别:

      (1)安全动态MAC地址(端口安全已启用,但没有“粘贴”启用,在设备重新启动时,表项将丢失,在没有“老化时间”的情况下不会老化,除非“老化时间”已配置)

      (2)安全静态MAC地址(手动配置的静态MAC地址不能老化,不能丢失设备重新启动表项)

      配置命令:port-securityenableport-security mac-address0001-0002-0003vlan10

      (3)粘贴的MAC地址(端口安全被启用和粘贴被启用,不老化和设备重新启动表项没有丢失,这是建议的)

      配置步骤(在界面视图下操作):

      port-securityenable

      port-security mac-addresssticky

      port-security max-mac-num10

      port-security protect-actionrestrict

      (4)终端的安全保护分为以下三个类型:

      1. 限制(丢弃并向警方报告,建议使用此方法)
      2. 保护
      3. 关机

      ARP表的限制: 当访问的用户主机发起ARP攻击时,要防止整个设备的ARP表资源耗尽。该界面下的配置界面可以学习动态ARP表项目的最大数目,超过此设置值将不允许任何新的动态ARP表项目。

      场景1:ARP表项目限制

      LSW1上配置

      #

      配置接口GE0/0/1(LSW1)可以学习到两个与VLAN10相对应的动态ARP表。

      interface GigabitEthernet0/0/1

      port link-type trunk

      port trunk allow-pass vlan 2 to 4094

      arp-limit vlan 10 maximum 2

      #

      或者配置VLANIF10接口学习最大10个动态ARP表项目。

      #

      interface Vlanif10

      ip address 192.168.100.254 255.255.255.0

      dhcp select interface

      arp-limit maximum 10

      #

      在LSW1上,执行显示Arp所有以查看ARP声明记录,只学习PC1和PC2ARP声明。

      执行显示arp-limit以查看ARP限度表项目记录

      除了PC3,PC1和PC2也可以访问。

      场景2:配置港口安全

      LSW2配置:

      #

      vlan batch 10

      #

      interface GigabitEthernet0/0/5

      port link-type access

      port default vlan 10

      #

      PC4和PC5可以访问网络

      在LWS1上查看ARP表项目

      在打开GE0/0/5端口的安全端口后,再检查一下PC4和PC5是否能访问网络开关

      [Huawei-GigabitEthernet0/0/5]port-security enable

      [Huawei-GigabitEthernet0/0/5]port-security protect-action protect

      [Huawei-GigabitEthernet0/0/5]port-security mac-address sticky

      [Huawei-GigabitEthernet0/0/5]port-security max-mac-num 1

      执行重新启动命令,重新启动LSW1,并清除ARP表项(Reset arp all command cannot be used on ENSP)。

      在PC4和PC5上,测试访问网络开关的能力分别显示只有PC4才能访问,而PC5则被拒绝。

      在GE0/0/1接口下学习的ARP条目查看

      建议: 更改港口安全保护功能以限制和报告警告,同时删除消息.

      [Huawei-GigabitEthernet0/0/5]port-security protect-action restrict

      设备输出的报警如下

      Jun 27 2022 01:32:25-08:00 Huawei DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5

      .25.191.3.1 configurations have been changed. The current change number is 13, t

      he change loop count is 0, and the maximum number of records is 4095.

      Jun 27 2022 01:32:32-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1

      .2011.5.25.42.2.1.7.6 The number of MAC address on interface (10/10) GigabitEthe

      rnet0/0/5 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3

      :shutdown)

      本文由 在线网速测试 整理编辑,转载请注明出处,原文链接:https://www.wangsu123.cn/news/28801.html

          热门文章

          文章分类