关注微信公众号:厦门微思网络
接入层设备安全配置案例
接入层作为园区网络的边界,为各种终端接入网络,需要防止非法的终端和用户进入网络。此外,接入层设备还承载二层流量转发的功能,需要对二层流量的转发行为进行控制。
配置案例
-
配置流量抑制功能案例
[HUAWEI] suppression mode by-bits //配置全局流量抑制模式 [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] broadcast-suppression cir 1000 //配置接口入方向的未知广播流量抑制 [HUAWEI-GigabitEthernet0/0/1] multicast-suppression cir 1000 //配置接口入方向的未知组播流量抑制 [HUAWEI-GigabitEthernet0/0/1] unicast-suppression cri 1000 //配置接口入方向的未知单播流量抑制 [HUAWEI-GigabitEthernet0/0/1] broadcast-suppression block outbound //配置阻断接口出方向的广播流量 [HUAWEI-GigabitEthernet0/0/1] multicast-suppression block outbound //配置阻断接口出方向的组播流量 [HUAWEI-GigabitEthernet0/0/1] unicast-suppression block outbound //配置阻断接口出方向的单播流量
-
配置风暴控制功能案例
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000 //配置广播风暴控制 [HUAWEI-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000 //配置未知组播风暴控制 [HUAWEI-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000 //配置未知单播风暴控制 [HUAWEI-GigabitEthernet0/0/1] storm-control action block //配置风暴控制的动作 [HUAWEI-GigabitEthernet0/0/1] storm-control enable log //使能风暴控制时记录日志的功能 [HUAWEI-GigabitEthernet0/0/1] storm-control interval 90 //配置风暴控制的检测时间间隔
-
配置DHCP Snooping功能案例
[HUAWEI] dhcp enable //使能DHCP功能 [HUAWEI] dhcp snooping enable //使能全局DHCP Snooping功能 [HUAWEI] interface gigabitethernet 0/0/1 //进入用户侧接口 [HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable //使能DHCP Snooping功能 [HUAWEI-GigabitEthernet0/0/1] quit [HUAWEI] interface gigabitethernet 0/0/2 //进入直接或间接连接DHCP服务器的接口 [HUAWEI-GigabitEthernet0/0/2] dhcp snooping trusted //配置该接口为信任接口
-
配置IPSG功能案例
配置基于静态绑定表的IPSG功能案例。
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 00e0-fc01-0001 //创建静态绑定表项 [HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 00e0-fc02-0002 //创建静态绑定表项 [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP报文检查功能 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP报文检查告警功能 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP报文检查告警阈值
配置基于DHCP Snooping动态绑定表的IPSG功能案例,配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表。
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP报文检查功能 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP报文检查告警功能 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP报文检查告警阈值
-
配置ND Snooping功能案例
[HUAWEI] nd snooping enable //使能全局ND Snooping功能 [HUAWEI] interface gigabitethernet 0/0/1 //进入用户侧接口 [HUAWEI-GigabitEthernet0/0/1] nd snooping enable //使能ND Snooping功能 [HUAWEI-GigabitEthernet0/0/1] quit [HUAWEI] interface gigabitethernet 0/0/2 //进入直接或间接连接网关的接口 [HUAWEI-GigabitEthernet0/0/2] nd snooping trusted //配置该接口为信任接口
-
配置DAI功能案例
配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表或手动添加静态绑定表。
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable //使能动态ARP检测功能 [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address //配置ARP报文绑定表匹配检查时只检查IP地址 [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable //使能动态ARP检测丢弃报文告警功能 [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100 //配置动态ARP检测丢弃报文告警阈值
-
配置端口安全功能案例
如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能 [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数 [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作 [HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100 //配置端口安全动态MAC地址的老化时间
如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能 [HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky //使能接口Sticky MAC功能 [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数 [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作
如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定。
[HUAWEI] port-security static-flapping protect //使能静态MAC地址漂移的检测功能 [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能 [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址学习限制数 [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保护动作
-
配置端口隔离功能案例
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-isolate enable //配置该接口的端口隔离功能