部署和實施企業(yè)網(wǎng)絡(luò)安全引例描述本項目忽略廣州分公司的網(wǎng)絡(luò)拓?fù)?，運(yùn)維部工程師需要完成的任務(wù)如下。（1）按照IP地址規(guī)劃配置各臺設(shè)備的IP地址。（2）在深圳總部園區(qū)網(wǎng)絡(luò)部署端口安全、DHCPSnooping和DAI技術(shù)，防止總部園區(qū)網(wǎng)絡(luò)設(shè)備和主機(jī)遭受MAC地址泛洪攻擊、DHCP攻擊和ARP欺騙攻擊，實現(xiàn)員工主機(jī)安全接入總部園區(qū)網(wǎng)絡(luò)。（3）在深圳總部部署ACL，實現(xiàn)數(shù)據(jù)訪問控制和網(wǎng)絡(luò)設(shè)備安全管理。（4）在深圳總部與重慶辦事處邊界路由器之間部署IPSecVPN，實現(xiàn)辦事處員工通過Internet安全訪問公司總部服務(wù)器區(qū)的數(shù)據(jù)。引例描述項目任務(wù)任務(wù)4-1部署和實施總部園區(qū)網(wǎng)絡(luò)主機(jī)安全接入任務(wù)4-2部署和實施ACL實現(xiàn)網(wǎng)絡(luò)訪問控制任務(wù)4-3部署和實施IPSecVPN實現(xiàn)辦事處和總部數(shù)據(jù)安全傳輸任務(wù)4-1部署和實施總部園區(qū)網(wǎng)絡(luò)主機(jī)安全接入任務(wù)陳述知識準(zhǔn)備任務(wù)實施任務(wù)陳述本任務(wù)主要要求讀者夯實和理解MAC地址泛洪攻擊原理、端口安全工作原理、DHCP餓死和欺騙攻擊原理、DHCPSnooping工作原理、ARP欺騙攻擊原理和DAI工作原理以及端口安全、DHCPSnooping和DAI基本配置命令等網(wǎng)絡(luò)知識，通過在企業(yè)交換設(shè)備上部署和實施接入層安全技術(shù)，來掌握端口安全配置和驗證、DHCPSnooping配置和驗證以及DAI配置和驗證等職業(yè)技能，全面提升企業(yè)網(wǎng)絡(luò)安全水平。知識準(zhǔn)備1.1端口安全1.2DHCPSnooping1.3動態(tài)ARP檢測1.1端口安全端口隔離以太交換網(wǎng)絡(luò)中為了實現(xiàn)報文之間的二層隔離，用戶通常將不同的端口加入不同的VLAN，實現(xiàn)二層廣播域的隔離。大型網(wǎng)絡(luò)中，業(yè)務(wù)需求種類繁多，只通過VLAN實現(xiàn)報文二層隔離，會浪費(fèi)有限的VLAN資源。如下圖所示，由于某種業(yè)務(wù)需求，PC1與PC2雖然屬于同一個VLAN，但是要求它們在二層不能互通（但允許三層互通），PC1與PC3在任何情況下都不能互通，但是VLAN3里的主機(jī)可以訪問VLAN2里的主機(jī)。那么該如何解決這個問題呢？VLAN2VLAN3PC1PC2PC3PC4PC5PC6Switch1.1端口安全端口隔離采用端口隔離功能，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。VLAN2PC1PC2PC3SwitchRouterGE0/0/3GE0/0/2GE0/0/1

端口隔離組Port-isolateGroupIP:10.1.1.1/24IP:10.1.1.2/24IP:10.1.1.3/24缺省情況下，同屬于一個VLAN的PC1和PC2能夠二層互通。將GE0/0/1和GE0/0/2端口部署到同一個端口隔離組，則PC1與PC2無法實現(xiàn)二層互通。1.1端口安全端口隔離端口隔離雙向隔離單向隔離隔離模式L2（二層隔離三層互通）ALL（二層三層都隔離）隔離同一VLAN內(nèi)的廣播報文，但是不同端口下的用戶還可以進(jìn)行三層通信。缺省情況下，端口隔離模式為二層隔離三層互通。同一VLAN的不同端口下用戶二三層徹底隔離無法通信。隔離類型同一端口隔離組的接口之間互相隔離，不同端口隔離組的接口之間不隔離。端口隔離只是針對同一設(shè)備上的端口隔離組成員，對于不同設(shè)備上的接口而言，無法實現(xiàn)該功能。為了實現(xiàn)不同端口隔離組的接口之間的隔離，可以通過配置接口之間的單向隔離來實現(xiàn)。缺省情況下，未配置端口單向隔離。1.1端口安全端口隔離基本命令[Huawei-GigabitEthernet0/0/1]port-isolateenable

[

group

group-id

]使能端口隔離功能缺省情況下，未使能端口隔離功能。如果不指定group-id參數(shù)時，默認(rèn)加入的端口隔離組為1。[Huawei]port-isolatemode

{

l2

|

all

}（可選）配置端口隔離模式缺省情況下，端口隔離模式為L2，L2

端口隔離模式為二層隔離三層互通，all

端口隔離模式為二層三層都隔離。[Huawei-GigabitEthernet0/0/1]amisolate

{interface-type

interface-number

}&<1-8>配置端口單向隔離am

isolate命令用來配置當(dāng)前接口與指定接口的單向隔離。在接口A上配置與接口B之間單向隔離后，接口A發(fā)送的報文不能到達(dá)接口B，但從接口B發(fā)送的報文可以到達(dá)接口A。缺省情況下，未配置端口單向隔離。1.1端口安全MAC地址表安全MAC地址表項類型包括：動態(tài)MAC地址表項：由接口通過報文中的源MAC地址學(xué)習(xí)獲得，表項可老化。在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后，動態(tài)表項會丟失。靜態(tài)MAC地址表項：由用戶手工配置并下發(fā)到各接口板，表項不老化。在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后，保存的表項不會丟失。接口和MAC地址靜態(tài)綁定后，其他接口收到源MAC是該MAC地址的報文將會被丟棄。黑洞MAC地址表項：由用戶手工配置，并下發(fā)到各接口板，表項不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是該MAC的報文將會被丟棄。SwitchGE0/0/1GE0/0/2GE0/0/3PC1PC2PC3MAC地址VLAN接口TYPE0021-0000-000110GE0/0/1Static0021-0000-000210GE0/0/2Blackhole0021-0000-000310GE0/0/3Dynamic[Switch]displaymac-address00210000-00020021-0000-00031.1端口安全MAC地址表安全靜態(tài)MAC地址表項黑洞MAC地址表項動態(tài)MAC地址老化時間禁止MAC地址學(xué)習(xí)功能限制MAC地址學(xué)習(xí)數(shù)量實現(xiàn)MAC地址表安全將一些固定的上行設(shè)備或者信任用戶的MAC地址配置為靜態(tài)MAC表項，可以保證其安全通信。防止黑客通過MAC地址攻擊網(wǎng)絡(luò)，交換機(jī)對來自黑洞MAC或者去往黑洞MAC的報文采取丟棄處理。合理配置動態(tài)MAC地址表項的老化時間，可以防止MAC地址爆炸式增長。對于網(wǎng)絡(luò)環(huán)境固定的場景或者已經(jīng)明確轉(zhuǎn)發(fā)路徑的場景，通過配置禁止MAC地址學(xué)習(xí)功能，可以限制非信任用戶接入，防止MAC地址攻擊，提高網(wǎng)絡(luò)安全性。在安全性較差的網(wǎng)路環(huán)境中，通過限制MAC地址學(xué)習(xí)數(shù)量，可以防止攻擊者通過變換MAC地址進(jìn)行攻擊。1.1端口安全MAC地址表安全[Huawei]mac-addressstaticmac-address

interface-typeinterface-numbervlanvlan-id配置靜態(tài)MAC表項指定的VLAN必須已經(jīng)創(chuàng)建并且已經(jīng)加入綁定的端口；指定的MAC地址，必須是單播MAC地址，不能是組播和廣播MAC地址。[Huawei]mac-addressblackholemac-address[vlanvlan-id]配置黑洞MAC表項當(dāng)設(shè)備收到目的MAC或源MAC地址為黑洞MAC地址的報文，直接丟棄。[Huawei]mac-addressaging-timeaging-time配置動態(tài)MAC表項的老化時間1.1端口安全MAC地址表安全[Huawei-GigabitEthernet0/0/1]mac-addresslearningdisable[action{discard|forward}]關(guān)閉基于接口的MAC地址學(xué)習(xí)功能缺省情況下，接口的MAC地址學(xué)習(xí)功能是使能的：關(guān)閉MAC地址學(xué)習(xí)功能的缺省動作為forward，即對報文進(jìn)行轉(zhuǎn)發(fā)。當(dāng)配置動作為discard時，會對報文的源MAC地址進(jìn)行匹配，當(dāng)接口和MAC地址與MAC地址表項匹配時，則對該報文進(jìn)行轉(zhuǎn)發(fā)。當(dāng)接口和MAC地址與MAC地址表項不匹配時，則丟棄該報文。[Huawei-vlan2]mac-addresslearningdisable關(guān)閉基于VLAN的MAC地址學(xué)習(xí)功能缺省情況下，VLAN的MAC地址學(xué)習(xí)功能是使能的。當(dāng)同時配置基于接口和基于VLAN的禁止MAC地址學(xué)習(xí)功能時，基于VLAN的優(yōu)先級要高于基于接口的優(yōu)先級配置。1.1端口安全MAC地址表安全[Huawei-GigabitEthernet0/0/1]mac-limitmaximummax-num配置基于接口限制MAC地址學(xué)習(xí)數(shù)缺省情況下，不限制MAC地址學(xué)習(xí)數(shù)。[Huawei-vlan2]mac-limitmaximummax-num配置基于VLAN限制MAC地址學(xué)習(xí)數(shù)缺省情況下，不限制MAC地址學(xué)習(xí)數(shù)。[Huawei-GigabitEthernet0/0/1]mac-limitaction{discard|forward}缺省情況下，對超過MAC地址學(xué)習(xí)數(shù)限制的報文采取丟棄動作。[Huawei-GigabitEthernet0/0/1]mac-limitalarm{disable|enable}缺省情況下，對超過MAC地址學(xué)習(xí)數(shù)限制的報文進(jìn)行告警。配置當(dāng)MAC地址數(shù)達(dá)到限制后，對報文應(yīng)采取的動作配置當(dāng)MAC地址數(shù)達(dá)到限制后是否進(jìn)行告警1.1端口安全端口安全技術(shù)背景企業(yè)要求接入層交換機(jī)上每個連接終端設(shè)備的接口均只允許一臺PC接入網(wǎng)絡(luò)（限制MAC地址接入數(shù)量）。如果有員工試圖在某個接口下級聯(lián)一臺小交換機(jī)或集線器從而擴(kuò)展上網(wǎng)接口，那么這種行為應(yīng)該被發(fā)現(xiàn)或被禁止，如左圖所示。另一些企業(yè)還可能會要求只有MAC地址為可信任的終端發(fā)送的數(shù)據(jù)幀才允許被交換機(jī)轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)，員工不能私自更換位置（變更交換機(jī)的接入端口），如右圖所示。通過交換機(jī)的端口安全（portsecurity）特性可以解決這些問題。Switch1GE0/0/1GE0/0/2PC1PC3PC2Switch2SwitchGE0/0/1GE0/0/2PC1PC1MAC:0011-0022-0033PortMACGE0/0/10011-0022-0033MAC:0011-0022-00331.1端口安全端口安全概述通過在交換機(jī)的特定接口上部署端口安全，可以限制接口的MAC地址學(xué)習(xí)數(shù)量，并且配置出現(xiàn)越限時的懲罰措施。端口安全通過將接口學(xué)習(xí)到的動態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動態(tài)MAC，安全靜態(tài)MAC和StickyMAC），阻止非法用戶通過本接口和交換機(jī)通信，從而增強(qiáng)設(shè)備的安全性。1.1端口安全安全MAC地址分為以下類型：安全MAC地址通常與安全保護(hù)動作結(jié)合使用，常見的安全保護(hù)動作有：Restrict：丟棄源MAC地址不存在的報文并上報告警。Protect：只丟棄源MAC地址不存在的報文，不上報告警。Shutdown：接口狀態(tài)被置為error-down，并上報告警。類型定義特點安全動態(tài)MAC地址使能端口安全而未使能StickyMAC功能時轉(zhuǎn)換的MAC地址。設(shè)備重啟后表項會丟失，需要重新學(xué)習(xí)。缺省情況下不會被老化，只有在配置安全MAC的老化時間后才可以被老化。安全靜態(tài)MAC地址使能端口安全時手工配置的靜態(tài)MAC地址。不會被老化，手動保存配置后重啟設(shè)備不會丟失。StickyMAC地址使能端口安全后又同時使能StickyMAC功能后轉(zhuǎn)換到的MAC地址。不會被老化，手動保存配置后重啟設(shè)備不會丟失。1.1端口安全[Huawei-GigabitEthernet0/0/1]port-securityenable使能端口安全功能缺省情況下，未使能端口安全功能。[Huawei-GigabitEthernet0/0/1]port-securitymax-mac-nummax-number配置端口安全動態(tài)MAC學(xué)習(xí)限制數(shù)量缺省情況下，接口學(xué)習(xí)的安全MAC地址限制數(shù)量為1。[Huawei-GigabitEthernet0/0/1]port-securitymac-address

mac-address

vlan

vlan-id（可選）手工配置安全靜態(tài)MAC地址表項[Huawei-GigabitEthernet0/0/1]port-securityprotect-action{protect|restrict|shutdown}（可選）配置端口安全保護(hù)動作缺省情況下，端口安全保護(hù)動作為restrict。1.1端口安全[Huawei-GigabitEthernet0/0/1]port-securityaging-time

time[type{absolute|inactivity}]（可選）配置接口學(xué)習(xí)到的安全動態(tài)MAC地址的老化時間缺省情況下，接口學(xué)習(xí)的安全動態(tài)MAC地址不老化。[Huawei-GigabitEthernet0/0/1]port-securitymac-addresssticky使能接口StickyMAC功能缺省情況下，接口未使能StickyMAC功能。[Huawei-GigabitEthernet0/0/1]port-securitymax-mac-num

max-number配置接口StickyMAC學(xué)習(xí)限制數(shù)量。[Huawei-GigabitEthernet0/0/1]port-securitymac-addressstickymac-address

vlan

vlan-id（可選）手動配置一條sticky-mac表項使能接口StickyMAC功能后，缺省情況下，接口學(xué)習(xí)的MAC地址限制數(shù)量為1。1.2DHCPSnooping1342發(fā)現(xiàn)階段DHCPDISCOVER（廣播）提供階段DHCPOFFER（單播）請求階段DHCPREQUEST（廣播）確認(rèn)階段DHCPACK（單播）DHCPClientDHCPServerDHCPClientDHCPRelayDHCPServer1342發(fā)現(xiàn)階段DHCPDISCOVER提供階段中繼DHCPOFFER請求階段DHCPREQUEST確認(rèn)階段中繼DHCPACK中繼單播DHCPDISCOVER服務(wù)器單播DHCPOFFER中繼單播DHCPREQUEST服務(wù)器單播DHCPACKDHCP無中繼場景DHCP有中繼場景1.2DHCPSnooping為了保證網(wǎng)絡(luò)通信業(yè)務(wù)的安全性，引入了DHCPSnooping技術(shù)，在DHCPClient和DHCPServer之間建立一道防火墻，以抵御網(wǎng)絡(luò)中針對DHCP的各種攻擊。DHCPSnooping是DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址。DHCP服務(wù)器記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，防止網(wǎng)絡(luò)上針對DHCP攻擊。目前DHCP協(xié)議在應(yīng)用的過程中遇到很多安全方面的問題，網(wǎng)絡(luò)中存在一些針對DHCP的攻擊，如DHCPServer仿冒者攻擊、DHCPServer的拒絕服務(wù)攻擊、仿冒DHCP報文攻擊等。DHCPSnooping主要是通過DHCPSnooping信任功能和DHCPSnooping綁定表實現(xiàn)DHCP網(wǎng)絡(luò)安全。1.2DHCPSnoopingDHCPSnooping的信任功能，能夠保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址。DHCPSnooping信任功能將接口分為信任接口和非信任接口：信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCPACK、DHCPNAK和DHCPOffer報文。設(shè)備只將DHCP客戶端的DHCP請求報文通過信任接口發(fā)送給合法的DHCP服務(wù)器，不會向非信任接口轉(zhuǎn)發(fā)。非信任接口收到的DHCPServer發(fā)送的DHCPOFFER、DHCPACK、DHCPNAK報文會被直接丟棄。DHCPSnooping信任接口DHCPSnooping非信任接口使能DHCPSnooping的接口合法DHCPOFFER/ACK/NAK報文非法DHCPOFFER/ACK/NAK報文DHCP客戶端請求報文DHCPClient1非法DHCPServerDHCPClient2合法DHCPServer1.2DHCPSnooping二層接入設(shè)備使能了DHCPSnooping功能后，從收到DHCPACK報文中提取關(guān)鍵信息（包括PC的MAC地址以及獲取到的IP地址、地址租期），并獲取與PC連接的使能了DHCPSnooping功能的接口信息（包括接口編號及該接口所屬的VLAN），根據(jù)這些信息生成DHCPSnooping綁定表。由于DHCPSnooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，故通過對報文與DHCPSnooping綁定表進(jìn)行匹配檢查，能夠有效防范非法用戶的攻擊。DHCPServerDHCPClient1192.168.1.98/24MAC-1DHCPClient2192.168.1.99/24MAC-2DHCPACKGE0/0/1GE0/0/2GE0/0/3IPMACVLAN接口Lease192.168.1.98MAC-11GE0/0/11192.168.1.99MAC-21GE0/0/211.2DHCPSnooping[Huawei]dhcpsnoopingenable[ipv4|ipv6]全局使能DHCPSnooping功能[Huawei-vlan2]dhcpsnoopingenableVLAN視圖下使能DHCPSnooping功能在VLAN視圖下執(zhí)行此命令，則對設(shè)備所有接口接收到的屬于該VLAN的DHCP報文命令功能生效。[Huawei-vlan2]dhcpsnoopingtrustedinterfaceinterface-typeinterface-numberVLAN視圖下dhcpsnoopingtrustedinterface在VLAN視圖下執(zhí)行此命令，則命令功能僅對加入該VLAN的接口收到的屬于此VLAN的DHCP報文生效。1.2DHCPSnooping[Huawei-GigabitEthernet0/0/1]dhcpsnoopingenable接口視圖下使能DHCPSnooping功能[Huawei-GigabitEthernet0/0/1]dhcpsnoopingtrusted接口視圖下配置接口為“信任”狀態(tài)缺省情況下，設(shè)備接口為非信任狀態(tài)。[Huawei]dhcpsnoopingcheckdhcp-giaddrenablevlan{vlan-id1

[tovlan-id2

]}

（可選）配置丟棄GIADDR字段非零的DHCP報文使能檢測DHCPRequest報文中GIADDR字段是否非零的功能。此命令同時可以在VLAN視圖或接口視圖下進(jìn)行配置。在VLAN視圖下執(zhí)行此命令，則對設(shè)備所有接口接收到的屬于該VLAN的DHCP報文命令功能生效；在接口下執(zhí)行該命令，則對該接口下的所有DHCP報文命令功能生效。1.3動態(tài)ARP檢測網(wǎng)絡(luò)中針對ARP的攻擊層出不窮，中間人攻擊是常見的ARP欺騙攻擊方式之一。中間人攻擊（Man-in-the-middleattack）是指攻擊者與通訊的兩端分別創(chuàng)建獨立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通訊的兩端認(rèn)為與對方直接對話，但事實上整個會話都被攻擊者完全控制。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內(nèi)容。1.3動態(tài)ARP檢測動態(tài)ARP檢測DAI