华为交换机-网络安全加固

一、生成树配置
stp tc-protection应用场景
在运行生成树协议的二层网络中，设备在接收到拓扑变化报文后，会执行MAC地址表项和ARP表项的删除操作，如果频繁操作则会对CPU的冲击很大，可能造成CPU占用率过高。此时，可以通过使用命令stp tc-protection开启防拓扑变化报文攻击的保护功能。
通过执行命令stp tc-protection启用防拓扑变化攻击功能后，在stp tc-protection interval命令指定的生成树协议处理最大数量的拓扑变化报文所需的时间内，设备只会处理stp tc-protection threshold指定的最大数量的拓扑变化报文。对于其他超出该数量的拓扑变化报文，stp tc-protection interval命令设置的时间超时后设备只对其统一处理一次。例如，时间设定为10秒，最大数量设定为5，则设备收到拓扑变化报文后，在10秒内只会处理最开始收到的5个拓扑变化报文，对于后面收到的报文则会等10秒超时后再统一处理。这样可以避免频繁的删除MAC地址表项和ARP表项，从而达到保护设备的目的。

stp bpdu-protection应用场景
对于运行生成树协议的二层网络，与终端相连的端口不用参与生成树计算，这些端口参与计算会影响网络拓扑的收敛速度，而且这些端口的状态改变也可能会引起网络震荡，导致用户流量中断。此时，可以通过执行命令stp edged-port enable将当前端口配置成边缘端口，该端口便不再参与生成树计算，从而帮助加快网络拓扑的收敛时间以及加强网络的稳定性。
边缘端口收到BPDU报文会失去其边缘端口属性。为防止攻击者仿造BPDU报文导致边缘端口属性变成非边缘端口，可通过执行命令stp bpdu-protection配置设备的BPDU保护功能。
配置影响
配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口将会被shutdown，边缘端口属性不变。
注意事项
BPDU保护功能，只对端口配置stp edged-port enable的边缘端口生效，对于自动探测生效的边缘端口是无效的。

1. 核心全局配置
   stp instance 0 root primary //设置核心为根桥，核心优先级最大，防止核心接口被堵塞
   stp tc-protection //开启防拓扑变化报文攻击的保护功能
   stp tc-protection interval 10 //配置设备处理最大数量的拓扑变化报文所需的时间为10秒
   stp tc-protection threshold 5 //设备处理拓扑变化报文的最大数量为5

2. 接入交换机全局配置
   stp bpdu-protection //开启BPDU保护
   stp tc-protection //开启防拓扑变化报文攻击的保护功能
   stp tc-protection interval 10 //配置设备处理最大数量的拓扑变化报文所需的时间为10秒
   stp tc-protection threshold 5 //配置设备处理拓扑变化报文的最大数量为5

3. 接入交换机连接终端接口视图配置
   interface GigabitEthernet0/0/X
   description down_link_XXXX
   port link-type access
   port default vlan XX
   stp edged-port enable //开启边缘端口，收到BPDU会shutdown接口。

二、DHCP配置
应用场景
DHCP Snooping是一种DHCP安全特性，开启设备的DHCP Snooping功能，可有效提高DHCP的安全性。
开启DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再开启接口、VLAN或BD视图下的DHCP Snooping功能。
前置条件
开启DHCP Snooping功能之前，必须已使用命令dhcp enable开启了全局DHCP功能。
后续任务
在连接用户的接口、VLAN或BD视图下开启DHCP Snooping功能之后，需要使用命令dhcp snooping trusted将连接DHCP服务器的接口配置为“信任”模式，两者配合使用才能生成绑定表。
注意事项
下发该命令行会同时开启DHCPv4和DHCPv6的snooping功能。
系统视图下，dhcp snooping enable命令是DHCP Snooping相关功能的总开关。在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则仅对该接口接收到的所有DHCP报文命令功能生效。
开启了DHCP Snooping的接口不仅会处理DHCP请求报文，也会处理DHCP响应报文，对于DHCP响应报文，如果接收报文的接口只开启了DHCP Snooping，却没有把接口配置为“信任”模式将会导致丢包。

1. 接入交换机全局配置
   dhcp enable
   dhcp snooping enable

2. 接入交换机上行口
   interface Eth-Trunk XX
   description uplink_XXXX
   port link-type trunk
   undo port trunk allow-pass vlan 1
   port trunk allow-pass vlan XX XXX XXX
   mode lacp
   dhcp snooping enable //开启dhcp snooping
   dhcp snooping trusted //信任来自DHCP-server的应答报文

3. 接入交换机连接终端接口配置（dhcp snooping enable开启，默认为untrust）
   interface GigabitEthernet0/0/13
   dhcp snooping enable //来自终端的DHCP应答报文，将被丢弃。

三、IPSG加固
场景1：
通过IPSG防止主机私自更改IP地址
主机只能使用DHCP Server分配的IP地址或者管理员配置的静态地址，随意更改IP地址后无法访问网络，防止主机非法取得上网权限。
打印机配置的静态IP地址只供打印机使用，防止主机通过仿冒打印机的IP地址访问网络。
原理
IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。

绑定表项类型
1、静态绑定表
使用user-bind命令手工配置。针对IPv4和IPv6主机，适用于主机数较少且主机使用静态IP地址的场景。
2、DHCP Snooping动态绑定表
配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报文动态生成。针对IPv4和IPv6主机，适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

配置举例

1. 静态绑定表(动态表项由dhcp snooping生成)
   user-bind static ip-address 10.0.0.1 mac-address xxxx-xxxx-xxxx

2. 连接主机的接口配置IPSG检查
   interface gigabitethernet 1/0/X
   ip source check user-bind enable
   ip source check user-bind alarm enable
   ip source check user-bind alarm threshold 200

display dhcp static user-bind all 查看静态绑定表项
display dhcp snooping user-bind all ，查看DHCP Snooping绑定表信息

3. *无线在接入交换机对AP管理VLAN开启IPSG检查。
   vlan 100
   ipv4 source check user-bind enable
   ip source check user-bind check-item

接入交换机连接AP的接口需要开启dhcp snooping enable
interface gigabitethernet 1/0/X
dhcp snooping enable

四、风暴抑制安全
当设备某个二层以太接口收到广播、未知组播或未知单播报文时，如果根据报文的目的MAC地址设备不能明确报文的出接口，设备会向同一VLAN内的其他二层以太接口转发这些报文制是用于控制广播、未知组播以及未知单播报文，防止这类报文引起广播风暴的安全技术。
风暴抑通过配置阈值来限制广播、未知组播未知单播报文的速率。当流量超过阈值时，系统将丢弃多余的流量，阈值范围内的报文可以正常通过，从而将流量限制在合理的范围内。

1. 连接终端接口
   interface gigabitethernet 1/0/X
   storm control broadcast min-rate 100 max-rate 200 //阈值单位PPS(包/秒)
   storm control multicast min-rate 500 max-rate 1000
   storm control unknown-unicast min-rate 500 max-rate 1000