【案例分享】接入层设备安全配置

news2025/1/20 19:27:19
关注微信公众号:厦门微思网络

 接入层设备安全配置案例

接入层作为园区网络的边界,为各种终端接入网络,需要防止非法的终端和用户进入网络。此外,接入层设备还承载二层流量转发的功能,需要对二层流量的转发行为进行控制。

配置案例

  • 配置流量抑制功能案例

    [HUAWEI] suppression mode by-bits                                       //配置全局流量抑制模式
    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] broadcast-suppression cir 1000            //配置接口入方向的未知广播流量抑制
    [HUAWEI-GigabitEthernet0/0/1] multicast-suppression cir 1000            //配置接口入方向的未知组播流量抑制
    [HUAWEI-GigabitEthernet0/0/1] unicast-suppression cri 1000              //配置接口入方向的未知单播流量抑制
    [HUAWEI-GigabitEthernet0/0/1] broadcast-suppression block outbound      //配置阻断接口出方向的广播流量
    [HUAWEI-GigabitEthernet0/0/1] multicast-suppression block outbound      //配置阻断接口出方向的组播流量
    [HUAWEI-GigabitEthernet0/0/1] unicast-suppression block outbound        //配置阻断接口出方向的单播流量
    

  • 配置风暴控制功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000     //配置广播风暴控制
    [HUAWEI-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000     //配置未知组播风暴控制
    [HUAWEI-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000       //配置未知单播风暴控制
    [HUAWEI-GigabitEthernet0/0/1] storm-control action block                             //配置风暴控制的动作
    [HUAWEI-GigabitEthernet0/0/1] storm-control enable log                               //使能风暴控制时记录日志的功能
    [HUAWEI-GigabitEthernet0/0/1] storm-control interval 90                               //配置风暴控制的检测时间间隔
    

  • 配置DHCP Snooping功能案例

    [HUAWEI] dhcp enable                                 //使能DHCP功能
    [HUAWEI] dhcp snooping enable                        //使能全局DHCP Snooping功能
    [HUAWEI] interface gigabitethernet 0/0/1             //进入用户侧接口
    [HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable   //使能DHCP Snooping功能
    [HUAWEI-GigabitEthernet0/0/1] quit
    [HUAWEI] interface gigabitethernet 0/0/2             //进入直接或间接连接DHCP服务器的接口
    [HUAWEI-GigabitEthernet0/0/2] dhcp snooping trusted  //配置该接口为信任接口
    

  • 配置IPSG功能案例

    配置基于静态绑定表的IPSG功能案例。

    [HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 00e0-fc01-0001     //创建静态绑定表项
    [HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 00e0-fc02-0002    //创建静态绑定表项
    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable               //使能IP报文检查功能
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable         //使能IP报文检查告警功能
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100  //配置IP报文检查告警阈值
    
    
    

    配置基于DHCP Snooping动态绑定表的IPSG功能案例,配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表。

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable                 //使能IP报文检查功能
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable           //使能IP报文检查告警功能
    [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100     //配置IP报文检查告警阈值
    

  • 配置ND Snooping功能案例

    [HUAWEI] nd snooping enable                          //使能全局ND Snooping功能
    [HUAWEI] interface gigabitethernet 0/0/1             //进入用户侧接口
    [HUAWEI-GigabitEthernet0/0/1] nd snooping enable     //使能ND Snooping功能
    [HUAWEI-GigabitEthernet0/0/1] quit
    [HUAWEI] interface gigabitethernet 0/0/2             //进入直接或间接连接网关的接口
    [HUAWEI-GigabitEthernet0/0/2] nd snooping trusted    //配置该接口为信任接口

  • 配置DAI功能案例

    配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表或手动添加静态绑定表。

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable                      //使能动态ARP检测功能
    [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address       //配置ARP报文绑定表匹配检查时只检查IP地址
    [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable                //使能动态ARP检测丢弃报文告警功能
    [HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100         //配置动态ARP检测丢弃报文告警阈值
    

  • 配置端口安全功能案例
    如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] port-security enable                      //使能端口安全功能
    [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1               //配置端口安全MAC地址学习限制数
    [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict     //配置端口安全保护动作
    [HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100              //配置端口安全动态MAC地址的老化时间
    

    如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] port-security enable                      //使能端口安全功能
    [HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky          //使能接口Sticky MAC功能
    [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1               //配置端口安全MAC地址学习限制数
    [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict     //配置端口安全保护动作
    

    如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定。

    [HUAWEI] port-security static-flapping protect                          //使能静态MAC地址漂移的检测功能
    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] port-security enable                      //使能端口安全功能
    [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1               //配置端口安全MAC地址学习限制数
    [HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict     //配置端口安全保护动作
    

  • 配置端口隔离功能案例

    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] port-isolate enable                         //配置该接口的端口隔离功能
    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/943351.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringBoot整合Redis使用

目录 1、redis介绍2、redis五种数据类型2.1 String(字符串)2.2 List(列表)2.3 Set(集合)元素唯一不重复2.3 Hash(哈希)2.4 zSet(有序集合) 3、SpringBoot整合…

2023年下半年抖音小店运营全攻略

每年618过后,7、8月份,都是电商淡季。 尤其是服装类目,很多商家都是直接躺平。 但是到了9月份,一是换季,二是碰上开学季,电商旺季就开始来了! 尤其是服装、文具、户外运营这些类目&#xff0…

激活潜能:探索职场中的自我效能感之道

引言:自我效能感的定义与重要性 自我效能感,简而言之,是个体对自己能够成功完成某项任务的信心。这种信心不仅影响我们的思考方式和情感,还影响我们的行为和动机。在职场中,高自我效能感的人往往更有动力,…

解决报错Java: 非法字符: ‘\ufeff‘

方法一:直接remove BOM,再重新启动程序。 方法二:用notpad打开,点击编码为utf-8格式,保存。

7个ChatGPT提示让你摆脱工作烦躁,实现加薪、获得认可、享受工作、融入、优雅离职等

人生的大部分时间都在工作,如果你不喜欢自己的工作,那简直就是一场灾难。人生苦短,没有必要被糟糕的工作环境困扰太久。无论你是否考虑换工作,你现在都可以借助ChatGPT来改善你的工作状况。 使用以下提示能让你的工作变得更加愉…

【高等数学基础知识篇】——导数与微分

本文仅用于个人学习记录,使用的教材为汤家凤老师的《高等数学辅导讲义》。本文无任何盈利或者赚取个人声望的目的,如有侵权,请联系删除! 文章目录 一、导数与微分的基本概念1.1 导数的基本概念1.2 微分的基本概念1.3 连续、可导、…

<C++> 多态

1.多态的概念 多态是指同一个函数在不同情况下表现出不同的行为。当类之间存在层次结构,并且类之间是通过继承关联时,就会用到多态。多态意味着调用成员函数时,会根据调用函数的对象的类型来执行不同的函数。 举个例子:比如买票…

电子价签如何让电信门店数字化事半功倍?

数字化转型,高效的工具首先跟上。早在2020年,深圳电信就与云里物里开展商业合作,在深圳所有电信营业厅安装云里物里的ESL电子标签,以替代传统纸质标签的显示。经过几年的效果认证,云里物里的数字化智显设备得到了深圳电…

Python基础学习第三天:Python语法

执行 Python 语法 正如我们在上一节中学习到的,可以直接在命令行中编写执行 Python 的语法: >>> print("Hello, World!") Hello, World!或者通过在服务器上创建 python 文件,使用 .py 文件扩展名,并在命令行…

“互联网+”背景下燃气行业的数字化之路

文章来源:智慧美好生活 关键词:智慧燃气、智慧燃气场站、智慧燃气平台、设备设施数字化、数字孪生、工业互联网 近年来,随着互联网行业的发展,其影响力正在逐渐渗透到各个领域。在能源行业,各个互联网巨头与燃气企业…

引领未来商业:循环购模式的创新突破-微三云门门

尊敬的创业者们,我是微三云门门。今天,我将与您深入探讨一种崭新的商业模式——循环购模式。该模式在私域流量领域取得了巨大成功,仅用6个月时间就创造了超过400万的用户数量! 循环购商业模式的核心概念涵盖三个关键要素&#xf…

python爬虫实战(5)--获取小破站热榜

1. 分析地址 打开小破站热榜首页,查看响应找到如下接口地址 2. 编码 定义请求头 拿到标头 复制粘贴,处理成json 处理请求头代码如下: def format_headers_to_json():f open("data.txt", "r", encoding"utf-8") # 读…

C语言(第三十天)

1. 什么是bug bug本意是昆虫”或“虫子”,现在一般是指在电脑系统或程序中,隐藏着的一些未被发现的缺陷或问 题,简称程序漏洞。 “Bug” 的创始人格蕾丝赫柏(Grace Murray Hopper),她是一位为美国海军工作的…

【SpringBoot】使用 HandlerInterceptor 拦截器进行用户登录验证? 为什么不使用 SpingAOP ?

文章目录 前言一、为什么不使用 SpringAOP ?1, 需求分析2, SpringAOP 能实现吗? 二、使用 HandlerInterceptor1, 实现 HandlerInterceptor 接口2, 将自定义拦截器加入到系统配置 三、HandlerInterceptor 实现原理源码分析 总结 前言 各位读者好, 我是小陈, 这是我的个人主页,…

crawlab通过docker单节点部署简单爬虫

crawlab 单节点docker安装 此处介绍的是单节点的方式,多节点的情况可以把爬虫上传到一个节点中,之后会同步到其它节点上 version: 3.3 services:master:image: crawlabteam/crawlabcontainer_name: crawlab_masterrestart: alwaysenvironment:CRAWLAB…

GaussDB技术解读系列:高级压缩之OLTP表压缩

8月16日,第14届中国数据库技术大会(DTCC2023)在北京国际会议中心顺利举行。在GaussDB“五高两易”核心技术,给世界一个更优选择的专场,华为云数据库GaussDB首席架构师冯柯对华为云GaussDB数据库的高级压缩技术进行了详…

〔018〕Stable Diffusion 之 批量替换人脸 篇

✨ 目录 🎈 下载插件🎈 插件基础使用🎈 基础使用效果🎈 批量处理图片🎈 多人脸部替换 🎈 下载插件 如果重绘图片的时候,你只想更换人物面部的话,可以参考这篇文章扩展地址&#xff…

【GAMES202】Real-Time Environment Mapping2—实时环境光照2

一、Shadow from Environment Lighting 上篇我们说了给定Environment,如何计算一个着色点的Shading,但没说Shadow。而事实上,实时渲染中很难做到环境光的Shadow。 原因也很容易想到,一种观点我们把环境光当成多光源问题&#xff…

软件测试实训系统建设方案

一 、系统概述 软件测试实训系统是软件开发过程中的一项重要测试活动,旨在验证不同软件模块或组件之间的集成与交互是否正常。综合测试确保各个模块按照设计要求正确地协同工作,以实现整个软件系统的功能和性能。以下是软件测试实训系统的一般流程和步骤…

2023腾讯云服务器多少钱一年?CPU内存带宽配置报价

腾讯云服务器租用价格表:轻量应用服务器2核2G4M带宽112元一年,540元三年、2核4G5M带宽218元一年,2核4G5M带宽756元三年、云服务器CVM S5实例2核2G配置280.8元一年、GPU服务器GN10Xp实例145元7天,腾讯云服务器网长期更新腾讯云轻量…