《以太网安全技术交流PPT课件.pptx》由会员分享,可在线阅读,更多相关《以太网安全技术交流PPT课件.pptx(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、全心为你,服务相随 以太网安全以太网安全常用技术常用技术 不断变化的业务类型、不断变化的网络应用、不断变化的业务类型、不断变化的网络应用、不断变化的安全威胁,这些都让当前企业网络处在不断变化的安全威胁,这些都让当前企业网络处在需要不断的自我调整、完善的状态。如何保持网络需要不断的自我调整、完善的状态。如何保持网络的安全可用,成为企业园区网络运维面临的挑战。的安全可用,成为企业园区网络运维面临的挑战。引入引入n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术n以太网常用安全技术介绍以太网常用安全技术介绍n案例分析案例分析目目 录录以太网常见的安全问题以太网常见的安
2、全问题攻击类型攻击类型攻击行为攻击行为交换机安全特性交换机安全特性参考指令参考指令资源耗尽型攻击MAC表攻击端口MAC数限制mac-address max-mac-count conut-value禁止某个VLAN的MAC地址学习 静态MAC表mac-address mac-learning disablemac-address static mac-address interface interface-type interface-number端口安全port-security enableMAC+IP+端口绑定,端口安全中的1个特性am user-bind mac-addr mac-ad
3、dress ip-addr ip-address interface interface-type interface-numberDHCP DOS攻击DHCP Relay Option 82dhcp server relay information enableDHCP Snooping Option 82dhcp-snooping information enableCPU恶意冲击ARP限速arp source-suppression limit total|local|through value防范攻击的其它特性广播风暴抑制broadcast-suppression ratio 环路检测
4、loopback detection enableEAD特性security-policy-server ip-address802.1x dot1x enable端口安全特性port-security enable假冒伪装型攻击假冒伪装型攻击假冒伪装型攻击ARP欺骗攻击ARP入侵检测arp source-suppression limit total|local|through value端口隔离port isolateIsolate-User-VLANisolate-user-vlan enableMAC/IP欺骗攻击DHCP relay Securitydhcp-security ip-
5、address mac-addressIP源地址保护ip-protect enableDHCP服务器欺骗攻击DHCP Snooping Trustdhcp-snooping trust根桥伪装攻击STP根保护stp root-protectionBPDU保护stp bpdu-protectionTCN攻击TC-BPDU报文非立即处理机制stp tc-protection enable路由源伪装攻击OSPF/RIP路由MD5验证ospf authentication-mode md5 key-id keyrip authentication-mode md5 rfc2082 key key-id
6、设备控制权攻击设备控制权攻击设备控制权攻击用户信息嗅探SSH2.0protol inbound sshSNMPv3snmp-agent sys-info version v3SFTPsftp server enable管理人员泄密远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inbound用户分级level level-value暴力尝试攻击 远程管理终端限制(Telnet VTY 配置ACL)acl acl-number inboundn以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术n以太网常用安全技术介绍以太网常用安全技
7、术介绍n案例分析案例分析目目 录录端口隔离技术端口隔离技术为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN 资源。采用端口隔离特性,可以实现同一VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。端口隔离特性与端口所属的VLAN 无关。同VLAN 下同一隔离组内相互隔离,同VLAN 不同隔离组或者隔离组内外不隔离,隔离组内的端口和隔离组外端口二层流量双向互通。为了使隔离组与隔离组外二层互通,隔离组内必须存在上行端口。VLAN 内非端口隔离组成员即为上行端口,
8、隔离组内上行端口的数量没有限制。DLDP技术技术在实际组网中,有时会出现一种特殊的现象单向链路(即单通)。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文,但对端设备不能收到本端设备的报文。单向链路会引起一系列问题,比如生成树拓扑中存在环路等。DLDP(Device Link Detection Protocol,设备链路检测协议)可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在,DLDP 会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。AAAAAA 是Authentication、Authorization、Accounting(认证、授权、计费
9、)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。SSHSSH 是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH 可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP 地址欺诈、明文密码截取等攻击。设备支持SSH 服务器功能,可以接受多个SSH 客户端的连接。同时,设备还支持SSH 客户端功能,允许用户与支持S
10、SH 服务器功能的设备建立SSH 连接,从而实现从本地设备通过SSH 登录到远程设备上。IP Source Guard通过IP Source Guard 绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,提高了端口的安全性。端口接收到报文后查找IP Source Guard 绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。IP Source Guard 支持的报文特征项包括:源IP 地址、源MAC 地址和VLAN 标签。并且,可支持端口与如下特征项的组合:
11、IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLANn以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术n以太网常用安全技术介绍以太网常用安全技术介绍n案例分析案例分析目目 录录以太网访问列表以太网访问列表主要作用主要作用:在整个网络中分布实施接入安全性在整个网络中分布实施接入安全性服务器服务器服务器服务器部门部门部门部门 A A部门部门部门部门 B BIntranetIntranetInternet访问列表访问列表对到达端口的数据包进行分类,并打上不同的动作标记对到达端口的数据包进行分类,并打上不同的动作标记对到达端口的数据包进行分类,并打上
12、不同的动作标记对到达端口的数据包进行分类,并打上不同的动作标记访问列表可作用于交换机的部分或所有端口访问列表可作用于交换机的部分或所有端口访问列表可作用于交换机的部分或所有端口访问列表可作用于交换机的部分或所有端口访问列表的主要用途:访问列表的主要用途:访问列表的主要用途:访问列表的主要用途:包过滤包过滤镜像镜像流量限制流量限制流量统计流量统计分配队列优先级分配队列优先级流分类流分类通常选择数据包的包头信息作为流分类项通常选择数据包的包头信息作为流分类项通常选择数据包的包头信息作为流分类项通常选择数据包的包头信息作为流分类项2 2 2 2层流分类项层流分类项层流分类项层流分类项以太网帧承载的数
13、据类型以太网帧承载的数据类型源源/目的目的MACMAC地址地址以太网封装格式以太网封装格式Vlan IDVlan ID入入/出端口出端口3/43/43/43/4层流分类项层流分类项层流分类项层流分类项协议类型协议类型源源/目的目的IPIP地址地址源源/目的端口号目的端口号DSCPDSCP访问控制列表的构成访问控制列表的构成RuleRuleRuleRule(访问控制列表的子规则)(访问控制列表的子规则)(访问控制列表的子规则)(访问控制列表的子规则)Time-rangeTime-rangeTime-rangeTime-range(时间段机制)(时间段机制)(时间段机制)(时间段机制)ACL=ru
14、les+time-rangeACL=rules+time-rangeACL=rules+time-rangeACL=rules+time-range(访问控制列表由一系列子规则(访问控制列表由一系列子规则(访问控制列表由一系列子规则(访问控制列表由一系列子规则组成,必要时可以和时间段结组成,必要时可以和时间段结组成,必要时可以和时间段结组成,必要时可以和时间段结合)合)合)合)访问控制列表访问控制列表访问控制列表访问控制列表子规则子规则子规则子规则:rule 1rule 1子规则子规则子规则子规则:rule 2rule 2子规则子规则子规则子规则:rule 3rule 3.子规则子规则子规则子
15、规则:rule Nrule N时间段的相关配置时间段的相关配置在在在在系统视图下,配置时间段系统视图下,配置时间段系统视图下,配置时间段系统视图下,配置时间段:time-range time-range time-range time-range time-nametime-name start-timestart-time to to to to end-timeend-time days-of-days-of-the-weekthe-week fromfromfromfrom start-time start-datestart-time start-date totototo end-t
16、ime end-end-time end-datedate 在系统视图下,删除时间段在系统视图下,删除时间段在系统视图下,删除时间段在系统视图下,删除时间段:undo time-range undo time-range time-name start-time to to end-time days-of-the-week fromfrom start-time start-date toto end-time end-date l l假设管理员需要在假设管理员需要在假设管理员需要在假设管理员需要在20022002年年年年1212月月月月1 1日上午日上午日上午日上午8 8点到点到点到点到2
17、0032003年年年年1 1月月月月1 1日下午日下午日下午日下午1818点的时间段内实施安全策略,可以点的时间段内实施安全策略,可以点的时间段内实施安全策略,可以点的时间段内实施安全策略,可以定义时间段名为定义时间段名为定义时间段名为定义时间段名为denytimedenytime,具体配置如下,具体配置如下,具体配置如下,具体配置如下:H3CH3Ctime-range denytime from 8:00 12-01-time-range denytime from 8:00 12-01-2002 to 18:00 01-01-20032002 to 18:00 01-01-2003 定义访
18、问控制列表定义访问控制列表 在系统视图下,定义在系统视图下,定义在系统视图下,定义在系统视图下,定义ACLACLACLACL并进入访问控制列表视图并进入访问控制列表视图并进入访问控制列表视图并进入访问控制列表视图:acl acl acl acl number number number number acl-number|acl-number|namenamenamename acl-nameacl-name basic basic basic basic|advanced advanced advanced advanced|link link link link|user user use
19、r user match-order match-order match-order match-order config config config config|auto auto auto auto 在系统视图下,删除在系统视图下,删除在系统视图下,删除在系统视图下,删除ACL:ACL:ACL:ACL:undo aclundo aclundo aclundo acl numbernumbernumbernumber acl-number|acl-number|namenamenamename acl-name|acl-name|allallallall 基本访问控制列表的子规则配置基本访
20、问控制列表的子规则配置在基本访问控制列表视图下,配置相应的子规则在基本访问控制列表视图下,配置相应的子规则在基本访问控制列表视图下,配置相应的子规则在基本访问控制列表视图下,配置相应的子规则rule rule rule rule rule-id rule-id permitpermitpermitpermit|denydenydenydeny source source source source source-addr source-addr wildcardwildcard|any any any any fragment fragment fragment fragment time-r
21、angetime-rangetime-rangetime-range name name 在基本访问控制列表视图下,删除一条子规则在基本访问控制列表视图下,删除一条子规则在基本访问控制列表视图下,删除一条子规则在基本访问控制列表视图下,删除一条子规则undo rule undo rule undo rule undo rule rule-idrule-id source source source source fragment fragment fragment fragment time-range time-range time-range time-range 端口操作符及语法端口操作
22、符及语法TCP/UDPTCP/UDPTCP/UDPTCP/UDP协议支持的端口操作符及语法协议支持的端口操作符及语法协议支持的端口操作符及语法协议支持的端口操作符及语法操作符及语法操作符及语法操作符及语法操作符及语法含义含义含义含义eq eq portnumberportnumber等于等于等于等于portnumberportnumbergt gt portnumberportnumber大于大于大于大于portnumberportnumberlt lt portnumberportnumber小于小于小于小于portnumberportnumberneq neq portnumberport
23、number不等于不等于不等于不等于portnumberportnumberrange range portnumber1portnumber1portnumber2portnumber2介于端口号介于端口号介于端口号介于端口号portnumber1portnumber1和和和和portnumber2portnumber2之间之间之间之间子规则匹配原则子规则匹配原则一条访问控制列表往往会由多条子规则组成,这样在匹配一条访问控制列表往往会由多条子规则组成,这样在匹配一条访问控制列表往往会由多条子规则组成,这样在匹配一条访问控制列表往往会由多条子规则组成,这样在匹配一条访问控制列表的时候就存在着子
24、规则匹配顺序的一条访问控制列表的时候就存在着子规则匹配顺序的一条访问控制列表的时候就存在着子规则匹配顺序的一条访问控制列表的时候就存在着子规则匹配顺序的问题。在问题。在问题。在问题。在H3CH3CH3CH3C系列交换机产品上,支持下列两种匹配系列交换机产品上,支持下列两种匹配系列交换机产品上,支持下列两种匹配系列交换机产品上,支持下列两种匹配顺序:顺序:顺序:顺序:ConfigConfig:指定匹配该子规则时按用户的配置顺序匹配:指定匹配该子规则时按用户的配置顺序匹配AutoAuto:指定匹配该子规则时系统自动排序(按:指定匹配该子规则时系统自动排序(按“深度优先深度优先”的规则)的规则)激活
25、访问控制列表激活访问控制列表在系统视图下,激活在系统视图下,激活在系统视图下,激活在系统视图下,激活ACL:ACL:ACL:ACL:packet-filter user-group acl-number|acl-name rule rule packet-filter user-group acl-number|acl-name rule rule|ip-group acl-number|acl-name rule rule|link-|ip-group acl-number|acl-name rule rule|link-group acl-number|acl-name rule rule
26、 group acl-number|acl-name rule rule 在系统视图下,取消激活在系统视图下,取消激活在系统视图下,取消激活在系统视图下,取消激活ACL:ACL:ACL:ACL:undo packet-filter user-group acl-number|acl-name undo packet-filter user-group acl-number|acl-name rule rule|ip-group acl-number|acl-name rule rule rule rule|ip-group acl-number|acl-name rule rule|link-
27、group acl-number|acl-name rule rule|link-group acl-number|acl-name rule rule 访问控制列表的维护和调试访问控制列表的维护和调试显示时间段状况显示时间段状况显示时间段状况显示时间段状况:display time-range all|name display time-range all|name display time-range all|name display time-range all|name 显示访问控制列表的详细配置信息显示访问控制列表的详细配置信息显示访问控制列表的详细配置信息显示访问控制列表的详细配置
28、信息:display acl config all|acl-number|acl-name display acl config all|acl-number|acl-name display acl config all|acl-number|acl-name display acl config all|acl-number|acl-name 显示访问控制列表的下发应用信息显示访问控制列表的下发应用信息显示访问控制列表的下发应用信息显示访问控制列表的下发应用信息:display acl running-packet-filter all display acl running-packet
29、-filter all display acl running-packet-filter all display acl running-packet-filter all 清除访问控制列表的统计信息清除访问控制列表的统计信息清除访问控制列表的统计信息清除访问控制列表的统计信息:reset acl counter all|acl-number|acl-name reset acl counter all|acl-number|acl-name reset acl counter all|acl-number|acl-name reset acl counter all|acl-number|
30、acl-name 802.1X的作用的作用IEEE 802.1XIEEE 802.1XIEEE 802.1XIEEE 802.1X定义了基于端口的网络接入控制协议定义了基于端口的网络接入控制协议定义了基于端口的网络接入控制协议定义了基于端口的网络接入控制协议(Port based network access control protocolPort based network access control protocolPort based network access control protocolPort based network access control protocol)该
31、协议适用于接入的用户设备与接入端口间点到点的该协议适用于接入的用户设备与接入端口间点到点的该协议适用于接入的用户设备与接入端口间点到点的该协议适用于接入的用户设备与接入端口间点到点的连接方式,实现对局域网用户接入的认证与服务管理连接方式,实现对局域网用户接入的认证与服务管理连接方式,实现对局域网用户接入的认证与服务管理连接方式,实现对局域网用户接入的认证与服务管理802.1X802.1X802.1X802.1X的认证接入基于逻辑端口的认证接入基于逻辑端口的认证接入基于逻辑端口的认证接入基于逻辑端口802.1X的系统组成的系统组成传输介质:点对点以太网(如果是共享传输介质:点对点以太网(如果是共
32、享式以太网需要采用加密的方式传递认式以太网需要采用加密的方式传递认证信息)证信息)SupplicantSupplicantAuthenticator SystemAuthenticator SystemServices offered Services offered by Authenticators Systemby Authenticators SystemAuthenticator PAE Authenticator PAE Authenticator Authenticator Server Server 非受控端口非受控端口非受控端口非受控端口受控端口受控端口受控端口受控端口LAN
33、LANEAPOLEAPOLEAP protocolEAP protocolexchanges carriers exchanges carriers in higher layer protocolin higher layer protocolEAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicant802.1X的受控端口(的受控端口(1)根据组网情况决定哪些端口需要启动根据组网情况决定哪些端口需要启动根据组网情况决定哪些端口需要启动根据组网情况决定哪些端口需要启动802.1X802.1X802.1X802.1X使之
34、成为使之成为使之成为使之成为受控端口。受控端口。受控端口。受控端口。802.1X802.1X客户端软件客户端软件客户端软件客户端软件(SupplicantSupplicant)端口启动了端口启动了端口启动了端口启动了802.1X802.1X,成为,成为,成为,成为受控端口,客户只有在通受控端口,客户只有在通受控端口,客户只有在通受控端口,客户只有在通过过过过802.1X802.1X认证后才能访问认证后才能访问认证后才能访问认证后才能访问网络资源网络资源网络资源网络资源端口未启动端口未启动端口未启动端口未启动802.1X802.1X,为非受控端口,通信为非受控端口,通信为非受控端口,通信为非受控
35、端口,通信数据可以畅通无阻数据可以畅通无阻数据可以畅通无阻数据可以畅通无阻H3CH3C S3526S3526(AuthenticatorAuthenticator)802.1X的受控端口(的受控端口(2)受控端口支持三种认证授权模式受控端口支持三种认证授权模式受控端口支持三种认证授权模式受控端口支持三种认证授权模式ForceAuthorizedForceAuthorized模式模式端口一直维持授权状态,下挂用户无需认证过程就可访问网端口一直维持授权状态,下挂用户无需认证过程就可访问网络资源络资源ForceUnauthorizedForceUnauthorized模式模式端口一直维持非授权状态,
36、忽略所有客户端发起的认证请求端口一直维持非授权状态,忽略所有客户端发起的认证请求AutoAuto模式模式端口初始状态为非授权状态,仅允许端口初始状态为非授权状态,仅允许EAPOLEAPOL报文收发。报文收发。802.1X802.1X认证通过后,将此端口状态切换到授权状态,用户才认证通过后,将此端口状态切换到授权状态,用户才能访问网络资源能访问网络资源端口受控方式端口受控方式H3CH3CH3CH3C公司对公司对公司对公司对802.1X802.1X802.1X802.1X协议的端口控制方式进行了扩展,除协议的端口控制方式进行了扩展,除协议的端口控制方式进行了扩展,除协议的端口控制方式进行了扩展,除
37、了支持基于端口的控制方式外,还在端口受控的基础上了支持基于端口的控制方式外,还在端口受控的基础上了支持基于端口的控制方式外,还在端口受控的基础上了支持基于端口的控制方式外,还在端口受控的基础上增加了基于增加了基于增加了基于增加了基于MACMACMACMAC、VLANVLANVLANVLAN的控制方式。缺省的认证控制的控制方式。缺省的认证控制的控制方式。缺省的认证控制的控制方式。缺省的认证控制方式为基于方式为基于方式为基于方式为基于MACMACMACMAC。基于端口的控制基于端口的控制基于端口的控制基于端口的控制一旦某端口上有一位用户通过了一旦某端口上有一位用户通过了802.1X802.1X的认
38、证,整个端口都将被的认证,整个端口都将被授权,允许多台主机通过此端口访问网络资源授权,允许多台主机通过此端口访问网络资源基于基于基于基于MACMACMACMAC地址的控制(端口源地址的控制(端口源地址的控制(端口源地址的控制(端口源MACMACMACMAC)某端口上有用户通过某端口上有用户通过802.1X802.1X认证时,仅授权给发起该认证的主机认证时,仅授权给发起该认证的主机通过此端口访问网络资源,不允许其它主机通过此端口访问网络通过此端口访问网络资源,不允许其它主机通过此端口访问网络资源资源802.1X优势明显优势明显802.1X802.1XPPPOEPPPOEWEBWEB认证认证认证认
39、证是否需要安装是否需要安装是否需要安装是否需要安装客户端软件客户端软件客户端软件客户端软件业务报文效率业务报文效率业务报文效率业务报文效率组播支持能力组播支持能力组播支持能力组播支持能力有线网上的有线网上的有线网上的有线网上的安全性安全性安全性安全性设备端的要求设备端的要求设备端的要求设备端的要求增值应用支持增值应用支持增值应用支持增值应用支持是,是,是,是,XPXP不需要不需要不需要不需要是是是是否否否否高高高高好好好好扩展后可用扩展后可用扩展后可用扩展后可用低低低低简单简单简单简单复杂复杂复杂复杂复杂复杂复杂复杂高高高高较高较高较高较高可用可用可用可用可用可用可用可用低,对设备要求高低,对
40、设备要求高低,对设备要求高低,对设备要求高好好好好低,有封装开销低,有封装开销低,有封装开销低,有封装开销高高高高结论:结论:结论:结论:802.1X802.1X适用于运营管理相对简单,业务复杂度较低的企业以及园区适用于运营管理相对简单,业务复杂度较低的企业以及园区是理想的低成本运营解决方案是理想的低成本运营解决方案典型应用(典型应用(1)802.1X802.1X802.1X802.1X应用在大应用在大应用在大应用在大中型网络中型网络中型网络中型网络汇聚层设备集中认证汇聚层设备集中认证汇聚层设备集中认证汇聚层设备集中认证802.1X 802.1X 设备端设备端设备端设备端802.1X 802.
41、1X 设备端设备端设备端设备端DNSDNSDHCPDHCPAAAAAAHUBHUB802.1X802.1X客户端客户端客户端客户端802.1X802.1X客户端客户端客户端客户端802.1X802.1X认证服务器认证服务器认证服务器认证服务器HUBHUB典型应用(典型应用(2)802.1X802.1X802.1X802.1X应用在大中型应用在大中型应用在大中型应用在大中型网络网络网络网络边缘设备分布认证边缘设备分布认证边缘设备分布认证边缘设备分布认证AAA/DHCP/DNSAAA/DHCP/DNS802.1X 802.1X 设备端设备端设备端设备端802.1X 802.1X 设备端设备端设备端
42、设备端802.1X802.1X客户端客户端客户端客户端802.1X802.1X认证服务器认证服务器认证服务器认证服务器802.1X802.1X客户端客户端客户端客户端典型应用(典型应用(3)802.1X802.1X802.1X802.1X应用在应用在应用在应用在小小小小型型型型网络网络网络网络DHCP/DNSDHCP/DNSH3C S3600H3C S3600802.1X802.1X设备端设备端设备端设备端802.1X802.1X设备端设备端设备端设备端802.1X802.1X客户端客户端客户端客户端802.1X802.1X客户端客户端客户端客户端802.1X802.1X设备端设备端设备端设备
43、端802.1X802.1X客户端客户端客户端客户端AccessPointAccessPoint802.1X802.1X内置认证服务器内置认证服务器内置认证服务器内置认证服务器&设备端设备端设备端设备端n 仿冒网关仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关n 仿冒终端用户仿冒终端用户/服务器服务器n 欺骗网关发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信n 欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户,导致两个终端用户之间无法正常通信n 其他其他nARP FLOODING
44、攻击ARPARP攻击防御攻击防御网关G用户接入设备n 网关防御网关防御n 合法ARP绑定,防御网关被欺骗n VLAN内的ARP学习数量限制,防御ARP泛洪攻击1 1 接入设备防御接入设备防御n 将合法网关IP/MAC进行绑定,防御仿冒网关攻击n 合法用户IP/MAC绑定,过滤掉仿冒报文n ARP限速n 绑定用户的静态MAC2 2n 客户端防御客户端防御n 合法ARP绑定,防御网关被欺骗3 3ARPARP攻击防御的三个控制点攻击防御的三个控制点动态获取动态获取IPIP地址的网络推荐地址的网络推荐DHCP SnoopingDHCP Snooping模式模式网关接入设备接入设备接入设备接入设备监控D
45、HCP报文信息,绑定用户MAC-IP-PORT关系1保护屏障保护屏障DHCP响应响应DHCP请求请求配置命令:全局模式:dhcpsnooping(全局开关)VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量)上行接口:ARP detection trust(将上行口配置为信任接口不检查ARP)DHCP启用接入认证的网络推荐认证模式启用接入认证的网络推荐认证模式网关接入设备接入设备接入设备接入设备认证客户端绑定网关的IP-MAC对应关系3iNode客户端客户端 iNode客户端客户端 iNode客户端客户端 iNode客
46、户端客户端 CAMS服务器服务器 IP Address GMAC G1.2.2.100-e0-fc-00-00-04 静态静态ARPARP绑定:绑定:n以太网常见的安全问题以太网常见的安全问题 n几个以太网安全技术几个以太网安全技术n以太网常用安全技术介绍以太网常用安全技术介绍n案例分析案例分析目目 录录案例点评案例点评1 1:某大型企业总部网络:某大型企业总部网络大厦局域网大厦局域网案例点评案例点评2 2:某大型企业广域网:某大型企业广域网案例点评案例点评3 3:某大型企业数据中心:某大型企业数据中心构建安全的交换网络是一个系统工程构建安全的交换网络是一个系统工程 总之,构建安全的交换网络,是一个系统工程,需要从网络结构、安全、管理、优化等方面全盘考虑:在网络规划阶段,需要细致分析应用需求和业务模式,明确对网络可用性影响最大的关键节点和链路在网络设计阶段,需要合理规划网络结构,对关键节点和链路作充分的冗余设计,采用高可用性技术,对网络安全给予足够的关注在网络部署阶段,则需要关注设备软硬件质量和链路质量网络建成后,在维护阶段,还需要利用合适的网络管理工具持续对网络业务流量进行分析,不断优化网络,提升网络可用性水平