学习目标:
什么是内网私接路由器?
私接会给内网来带怎样的安全隐患?
企业中如何预防违法私接?
内网 - 局域网 - 通过交换机连接的网络
- 常见交换机规格:4口 8口 24口 48口
- 作用:把下游终端设备(PC SERVER 打印机 摄像头等) 连接到一块
防止违法私接
- 安全隐患 : 一台电脑中病毒了,通过内网进行泛洪传播
如何防止外部输入?
- 身份绑定/捆绑 - 内部身份识别
- 如何识别主机身份?
mac地址 - 物理地址 - 网卡地址 - 硬件地址 - 出厂自带 - 全球唯一 IP地址 - 逻辑地址 - 进行配置/DHCP自动获取 = 可变的 - 不是唯一确定的 端口安全机制 - 不能进行数据通信 - 触发隔离机制 - 接口关闭掉 - 实现自动恢复 - 接口自动打开 - 自动报警功能 - 提醒管理员
DHCP-Snooping
当企业网内有dhcp服务器,有员工将一台无线AP接入交换机,那么PC就接收到来自DHCP服务器和无线AP的不同报文,这个时候就需要开启交换机的DHCP-Snooping,将交换机和DHCP Server之间的接口设为信任接口,阻止pc接收到来自AP的DHCP报文
注意:snooping技术只能基于二层接口开启,三层接口不行
Port-Security端口安全功能
内网身份识别
AAA服务 - 认证授权审计 - 单独上认证服务器
端口安全(简化版本)
HCIE阶段
NAC - 网络准入控制 - 用户
- 电脑PC -固定员工(dot1x-显示器)
-打印机 摄像头 - 哑终端- mac认证
-访客 - portal - 网页认证
拓扑图
ip地址 | |
---|---|
PC1 | 192.168.1.10/24 |
PC2 | 192.168.1.20/24 |
1.PC之间可以互通,查看Mac表
2.shutdown掉GE0/0/1接口,配置接口类型为access,打开Port-Security服务,实现接口设备Mac地址粘滞。
[Huawei-GigabitEthernet0/0/1]shutdown
[Huawei-GigabitEthernet0/0/1]port link-type access ---配置接口类型为access
[Huawei-GigabitEthernet0/0/1]port-security enable ---打开Port-Security服务
[Huawei-GigabitEthernet0/0/1]port-security ?
aging-time Aging time
enable Enable port security
mac-address Mac address
max-mac-num Maximum mac address can learn
protect-action Action if beyond the limit
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky ---接口设备Mac地址粘滞
自动粘滞 - 让接口把第一次识别到的mac给粘上 - 好处:方便
3.undoshutdown,重新ping通PC2,查看MAC表
可以看见现在的MAC表和没有粘滞之前不一样了
4.上面的粘滞功能是通过ping操作自动配置的,现在我们将他undo掉。
进行手动的粘滞配置
port-security mac-address sticky 5489-981F-3BFD vlan 1
同样实现端口MAC粘滞
5.配置端口粘滞mac地址最大数量
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 1 ---最大1在dis th里是看不见的,不过一般建议默认1就可以
[Huawei-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
shutdown
port link-type access
port-security enable
port-security mac-address sticky
#
return
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 5
[Huawei-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
shutdown
port link-type access
port-security enable
port-security max-mac-num 5
port-security mac-address sticky
#
return
6.配置接口保护动作(就是该接口被接入其他设备时的安全措施)
[Huawei-GigabitEthernet0/0/1]port-security protect-action ?
protect Discard packets ---丢包不报警
restrict Discard packets and warning ---丢包并发出警告,一般搭配其他安全设备使用,在web界面直观查看
shutdown Shutdown
[Huawei-GigabitEthernet0/0/1]port-security protect-action sh
[Huawei-GigabitEthernet0/0/1]port-security protect-action shutdown
[Huawei-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
shutdown
port link-type access
port-security enable
port-security protect-action shutdown
port-security max-mac-num 5
port-security mac-address sticky
#
return
7.让PC1一直Ping PC2
8.修改PC1mac地址,查看Ping,可以看见请求超时了。
同时接口ge0/0/1变为shutdown
同时会看到一条日志信息,OID是huawei的SNMP的信息号码,可以看见Ge0/0/1口在这个时候受到了某种限制,端口被shutdown了
huawei和思科设备端口错误关闭方法:
- 思科:粘贴就粘贴,手动捆绑就是手动捆绑
- err-disable - 错误关闭 - 先手动sh,再敲no sh
- 华为:粘贴和手动捆绑都叫粘贴,只不过分为“自动粘贴”和“手动粘贴”
- err-down - 错误关闭 - 直接un sh
9.配置err-down自动恢复 - 因为错误关闭带来的自动恢复功能
每过30秒就检查一次接口设备,如果设备正确就恢复
[Huawei]error-down auto-recovery cause port-security interval 30