以太网交换安全

一、端口隔离

1. 技术背景

• 为了实现报文之间的二层隔离，用户通常将不同的端口加入不同的VLAN，实现二层广播域的隔离。在大型网络中，业务需求种类繁多，只通过VLAN实现报文二层隔离，会浪费有限的VLAN资源
• 由于某种业务需求，PC1与PC2虽然属于同一个VLAN ，但是要求它们在二层不能互通（但允许三层互通），PC1与PC3在任何情况下都不能互通，但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢？

2. 端口隔离的概述

• 采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

• 同一个端口隔离组是隔离的，但是不同的端口隔离组是可以互通的，或者说是没有加入到这个端口隔离组也是可以互通的

1.  3.端口隔离的类型

• L2：无法通过二层通信，但是可以通过路由进行三层通信，隔离了广播报文，从一定的程度隔离了一些BUM数据帧
• ALL：二层跟三层都无法通信，也就是无法通过路由进程三层通信

二、MAC地址表安全

1.MAC地址表项类型

• 动态MAC地址表项：由接口通过报文中的源MAC地址学习获得，表项可老化。在系统复位、接口板热插拔或接口板复位后，动态表项会丢失，默认的老化时间是300s
• 静态MAC地址表项：由用户手工配置并下发到各接口板，表项不老化。在系统复位、接口板热插拔或接口板复位后，保存的表项不会丢失。永久存储在交换机上，接口和MAC地址静态绑定后，其他接口收到源MAC是该MAC地址的报文将会被丢弃，当发生这种行为的之后交换机会认为是mac地址欺骗，所以会把这个mac地址表丢弃掉
• 黑洞MAC地址表项：由用户手工配置，并下发到各接口板，表项不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是该MAC的报文将会被丢弃

三、端口安全

1.安全mac地址类型

• 安全动态mac地址：设备重启后表项会丢失，热插拔之后也会消失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化，如果某个端口开启了mac安全功能，端口下默认只能学习到一个mac地址
• 安全静态mac地址：不会被老化，手动保存配置后重启设备不会丢失，手工静态绑定mac地址
• Sticky MAC地址：不会被老化，手动保存配置后重启设备不会丢失，端口下默认只能学习到一个mac地址

2.保护动作

• Restrict：丢弃源MAC地址不存在的报文并上报告警。
• Protect：只丢弃源MAC地址不存在的报文，不上报告警
• Shutdown：接口状态被置为error-down，并上报告警

四、mac地址漂移防止与检测

1.背景

• MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象，一般一个mac地址只能允许一个端口学习
• 当一个MAC地址在两个端口之间频繁发生迁移时，即会产生MAC地址漂移现象
• 正常情况下，网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路，或者存在网络攻击行为

2.预防mac地址漂移

• 1.当MAC地址在交换机的两个接口之间发生漂移时，可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项
• 2.当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时，后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项

五、交换机流量控制

1.正常情况下，当设备某个二层以太接口收到广播、未知组播或未知单播报文时，会向同一VLAN内的其他二层以太接口转发这些报文，从而导致流量泛洪，降低设备转发性能

解决方案

• 流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率，防止广播、未知组播报文和未知单播报文产生流量泛洪，阻止已知组播报文和已知单播报文的大流量冲击

7.DHCP  Snooping

1.dhcp攻击介绍

• 饿死攻击：攻击者持续大量地向DHCP Server申请IP地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP Server不能给正常的用户进行分配，这样子就会导致服务器无法正常的提供服务，攻击者使用模拟mac地址攻击软件，使用不同的mac地址发送discover报文请求服务器分配地址，这时候服务器也会以为是正常的IP地址请求，所以来达到欺骗的目的

2.解决方法，防饿死攻击

• 对于饿死攻击，可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目，防止通过变换MAC地址，大量发送DHCP请

3.DHCP Snooping防改变CHADDR值的DoS攻击

为了避免受到攻击者改变CHADDR值的攻击，可以在设备上配置DHCP Snooping功能，检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配，转发报文；否则，丢弃报文。从而保证合法用户可以正常使用网络服务，所以就是检查数据链路层的mac地址是否一样，一样就接收不一样的话就不接受了

4.dhcp中间人攻击

• 攻击者利用ARP机制，让Client学习到DHCP Server IP与Attacker MAC的映射关系，又让Server学习到Client IP与Attacker Mac的映射关系。如此一来，Client与Server之间交互的IP报文都会经过攻击者中转，中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器

解决办法：

• 可以使用dhcp snooping技术，在DHCP Client和DHCP Server之间建立一道防火墙，以抵御网络中针对DHCP的各种攻击

5.仿冒dhcp服务器攻击

• 根据客户端选择最优的服务器机制，先收到哪个服务器的offer报文那就用谁的，如果收到的是非法服务器的报文，那就会收到了一个错误的IP地址
  • 解决方法就是：开启交换机的dhcp snooping功能，把连接到dhcp的接口配置为信任接口，其他接口配置为不信任的接口，这样子的话交换机就只会转发信任接口下发的dhcp报文了，对于不信任的接口则采取丢弃的措施，缺省情况下，在配置snooping之后，所有接口都属于非信任接口，需要自己去指定，
  • 解决办法：也可以配置snooping解决这个问题，将合法服务器的接口配置为信任接口