Главная » Новости

Технологии безопасности сети на 2-ом уровне OSI. Часть 1 / Хабр

huawei ensp port security topology Новости
Автор На чтение 26 мин Просмотров 1 Опубликовано
Содержание
  1. Думаю, пока что хватит
  2. Описание
  3. Access порты
  4. Huawei: защита плоскости управления
  5. Port security on huawei switches – labnario
  6. Port security with protect action shutdown
  7. Trunk порты
  8. Конфигурация
  9. Проверка
  10. Сводка команд настройки коммутатора huawei – русские блоги
  11. Узнайте больше о Huawei

Думаю, пока что хватит

В следующий раз покажу, какие еще списки доступа бывают на свичах и зачем они нужны; как контролировать коммуникацию в пределах одной подсети; попробую осветить тонкости перехода интерфейса в статус

errdisable

и может получиться понять, нужен ли вообще MACsec.

Описание

Технология предотвращает использование не авторизированного DHCP сервера в сети, что позволяет например произвести атаку человек-посередине (man-in-the-middle, MITM). Еще защищает сеть от атак на истощение DHCP (DHCP starvation/exauction), которая имхо не особо актуальна.

Технология следит за DHCP коммуникацией в сети, которая (в основном) состоит из четырех пакетов:

Перед активацией DHCP snooping нужно обязательно указать «доверенный» порт(ы), за которым находится DHCP сервер. Только доверенные порты будут передавать DHCP Offer и DHCP ACK (пакеты от сервера). В связи с чем ни одно устройство за другими интерфейсами этого коммутатора не сможет производить работу DHCP сервера, предлагая свои варианты сетевой конфигурации.

Очень немаловажно, что после активации DHCP snooping, коммутатор начинает следить за DHCP коммуникацией в сети и отождествлять выданные IP адреса с MAC-адресами запрашивающих устройств, складируя данную информацию в таблицу DHCP snooping binding.

Access порты


Технология задается посредством команды

switchport port-security…

в режиме конфигурации конкретного интерфейса, доступные опции:

Устанавливаем что нужно, что не нужно пропускаем. В конце активируем технологию командой

switchport port-security

без опций.

В результате все выглядит примерно так:

— Если хотим разрешить неизвестно какие маки, лимитируя их количество 5-ю, ставим максимум на 5 и не задаем ничего статически. Опционально указываем время жизни.
— Если известно, что за устройство стоит на втором конце провода и больше ничего там не будет и быть не должно — максимум=1, адрес прописываем статически.
— Если ждем нового работника с новым ПК или лень узнавать MAC-адрес, ставим Sticky, после подключения перепроверяем.

Huawei: защита плоскости управления

В статье рассматриваются аспекты защиты плоскости управления маршрутизаторов Huawei NE Series. Примеры приведены для NE40e, с программным обеспечением: VRP V800R008. На других типах маршрутизаторов (например NE5k) и с другой версией ПО, конфигурация может несколько отличаться.

Для более детального изучения данного вопроса, могу порекомендовать дополнительно ознакомиться с RFC 6192 (Protecting the router Control Plane).

В VRP существует ряд способов автоматической диагностики и защиты плоскости управления маршрутизаторов. Однако учитывая скудность и непрозрачность документации, я рекомендую все-таки придерживаться традиционного метода защиты: создания белых списков на необходимые протоколы и службы и закрытия остального трафика.

Основная секция политики выглядит следующим образом:

cpu-defend policy 1
 process-sequence whitelist user-defined-flow blacklist
 cp-acl ip-pool enable
 whitelist disable
 blacklist acl 3900
 blacklist ipv6 acl 3950 
 application-apperceive disable
 ip urpf loose

process-sequence определяет последовательность работы политики: белый список (который в нашем случае выключен), user-defined-flow, чёрный список (правило 3900 для IPv4 и 3950 для IPv6).

Учитывая, что мы будем определять разрешённые протоколы сами, весь же остальной трафик будет фильтроваться чёрным списком – необходимости в application-apperceive анализе нет.

Механизм URPf (Unicast Reverse Path Forwarding) включаем на консервативном loose уровне.

Чёрные списки, для IPv4 и IPv6 выглядят следующим образом:

acl number 3900
 description --- ACL For IPv4 Discard ---
 rule 5 deny tcp
 rule 10 deny udp
 rule 15 deny ip
#
acl ipv6 number 3950
 description --- ACL For IPv6 Discard ---
 rule 5 deny tcp
 rule 10 deny udp
 rule 15 deny ipv6

Политику необходимо применить на каждом слоту:

slot 1
cpu-defend-policy 1
#
slot 2
cpu-defend-policy 1
…

«По умолчанию» включены следующие механизмы защиты:

udp-packet-defend enable
fragment-flood enable
abnormal-packet-defend enable
tcpsyn-flood enable
attack-source-trace enable

Все неиспользуемые протоколы и службы рекомендуется дополнительно закрыть в секции ma-defend. Данная опция может быть включена, как глобально, так и по слотам. Например:

system-view
 ma-defend global-policy
 protocol OSPF deny
 protocol RIP deny

или

system-view
ma-defend slot-policy 1
protocol … deny

Ниже описывается user-defined политика. Общие правила, собраны в таблице ниже. Значения по скоростиприоритету указаны, как пример и не претендуют на “истину в последней инстанции”. Максимальное количество элементов в user-defined политике — 64.

Далее рассмотрим ACL фильтры, для соответствующих протоколовслужб.

3901. Протокол BGP.
Правило, для фильтрации протокола BGP, может выглядеть либо в упрощённом виде:

acl number 3901
 rule permit tcp destination-port eq bgp
 rule permit tcp source-port eq bgp

либо же, для каждого пира отдельно:

acl ip-pool BGP-Peers
 ip address 10.1.1.1 0.0.0.0

acl number 3901
 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp
 rule permit tcp source-pool BGP-Peers 0 source-port eq bgp

3902. Протокол LDP.

 rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646
 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646
 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646
 rule 20 permit udp source-pool Lo0_P2P source-port eq 646

3904. VRRP

acl ip-pool VRRP_Peers
 ip address 10.1.1.1 0.0.0.0

acl number 3904
 rule permit 112 source-pool VRRP_Peers

3905. BFD

acl number 3343
 rule permit udp source-pool Lo0_P2P destination-port eq 3784
 rule permit udp source-pool Lo0_P2P source-port eq 3784

3906. All MCAST (IGMP, PIM, MSDP)

acl number 3906
 rule permit 103
 rule permit igmp
 rule permit udp destination-port eq 639
 rule permit udp source-port eq 639
 rule permit tcp destination-port eq 639
 rule permit tcp source-port eq 639

3907. SSH 

acl number 3907
 description ### SSH access ###
 rule 5 permit tcp source-pool MGMT source-port eq 22
 rule 10 permit tcp source-pool MGMT destination-port eq 22
 rule 15 permit tcp source-pool MGMT destination-port eq 830

3908. FTP. FTP-data

acl port-pool ftp
 eq 20
 eq 21

acl number 3908
 rule 10 permit tcp source-pool MGMT source-port-pool ftp
 rule 15 permit tcp source-pool MGMT destination-port-pool ftp

3909. DNS

acl ip-pool DNS
 ip address 1.1.1.1 0.0.0.0
 ip address 8.8.8.8 0.0.0.0

acl number 3909
 rule 5 permit udp source-pool DNS source-port eq dns

3910. SNMP

acl number 3909
 rule 5 permit udp source-pool SNMP source-port eq snmp
 rule 10 permit udp source-pool SNMP destination-port eq snmp

3911. TACACS 

acl number 3911
 rule 5 permit tcp source-pool TACACS source-port eq tacacs
 rule 10 permit udp source-pool TACACS source-port eq tacacs-ds

3912. NTP

acl number 3911
 rule 5 permit udp source-pool NTP source-port eq ntp
 rule 10 permit udp source-pool NTP destination-port eq ntp

3913. ICMP

acl number 3342
 rule permit icmp icmp-type echo
 rule permit icmp icmp-type echo-reply
 rule permit icmp icmp-type ttl-exceeded
 rule permit icmp icmp-type port-unreachable
 rule permit icmp icmp-type Fragmentneed-DFset
 rule permit icmp
 rule permit udp destination-port range 33434 33678
 rule permit udp destination-port eq 3503

3951. BGP for IPv6

acl ipv6 number 3951
 rule 5 permit tcp destination-port eq bgp

3952. ICMPv6

acl ipv6 number 3952
 rule 30 permit icmpv6
 rule 35 permit udp destination-port range 33434 33678

Для применения листов, их нужно привязать к cpu-defend политике следующим образом:

cpu-defend policy 1
...
 user-defined-flow 1 acl 3901
 user-defined-flow 2 acl 3902
 user-defined-flow 4 acl 3904
 user-defined-flow 5 acl 3905
 user-defined-flow 6 acl 3906
 user-defined-flow 7 acl 3907
 user-defined-flow 8 acl 3908
 user-defined-flow 9 acl 3909
 user-defined-flow 10 acl 3910
 user-defined-flow 11 acl 3911
 user-defined-flow 12 acl 3912
 user-defined-flow 13 acl 3913
 user-defined-flow 51 ipv6 acl 3951
 user-defined-flow 52 ipv6 acl 3952
 car blacklist cir 0 cbs 0
 car user-defined-flow 1 cir 1000
 car user-defined-flow 2 cir 1000
 car user-defined-flow 4 cir 1000
 car user-defined-flow 5 cir 1000
 car user-defined-flow 6 cir 1000
 car user-defined-flow 7 cir 512
 car user-defined-flow 8 cir 5000
 car user-defined-flow 9 cir 512
 car user-defined-flow 10 cir 1000
 car user-defined-flow 11 cir 1000
 car user-defined-flow 12 cir 512
 car user-defined-flow 13 cir 512
 car user-defined-flow 51 cir 10000
 car user-defined-flow 52 cir 512
 priority user-defined-flow 1 high
 priority user-defined-flow 2 high
 priority user-defined-flow 4 high
 priority user-defined-flow 5 high
 priority user-defined-flow 6 high
 priority user-defined-flow 7 middle
 priority user-defined-flow 8 low
 priority user-defined-flow 9 low
 priority user-defined-flow 10 middle
 priority user-defined-flow 11 low
 priority user-defined-flow 12 low
 priority user-defined-flow 13 low
 priority user-defined-flow 51 high
 priority user-defined-flow 52 low

для выставления предупреждений по трешхолдам, можно воспользоваться следующей функцией:

cpu-defend policy 1
...
 alarm drop-rate user-defined-flow 7 threshold 100 interval 60

тут значение threshhold выставляется в пакетах, а интервал в сек.

Статистику по работе CoPP фильтров, можно посмотреть в секции display cpu-defend…
После выполнения настроек, дополнительно стоит просканировать маршрутизатор.

В заключение хочется отметить, что Huawei (как и любой современный вендор) предлагает все необходимые методы, для защиты плоскости управления своих маршрутизаторов. А периодически появляющиеся сообщения об найденных уязвимостях, показывают, что этими инструментами не стоит пренебрегать.

Port security on huawei switches – labnario

How to prevent unauthorized users from connecting their PCs to an enterprise network? How to prevent employees from connecting unauthorized devices to a LAN or moving their computers without permission?

Port Security is a Layer 2 feature, which can be enabled on an interface, to prevent devices with untrusted MAC address, from accessing a switch interface. When enabled, MAC address of the device connected to the port, is dynamically learned by the switch and stored in a memory (by default it is not aged out). Only this MAC address is then allowed to forward traffic over switch port (only one trusted MAC is allowed by default). Every different MAC address will cause the port to go into one of the following states:

  • Protect – packets coming from untrusted MAC address will be dropped,
  • Restrict – packets coming from untrusted MAC address will be dropped and SNMP trap message will be generated (default behavior),
  • Shutdown – port will be put into shutdown state.

Let’s configure  port security feature on a switch port and see, how it works.

<labnarioSW1>sys
Enter system view, return user view with Ctrl Z.
[labnarioSW1]interface gi0/0/1
[labnarioSW1-GigabitEthernet0/0/1]port link-type access
[labnarioSW1-GigabitEthernet0/0/1]port-security enable

Generate some traffic from your PC, so that switch could learn PC’s MAC address. As you can see, my PC’s MAC address of aabb-ccdd-eeff was dynamically learned and assigned to the GigabitEthernet 0/0/1 port.

[labnarioSW1-GigabitEthernet0/0/1]display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI    MAC-Tunnel  
-------------------------------------------------------------------------------
aabb-ccdd-eeff 1           -      -      GE0/0/1         security  -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

Let’s see what happens, when different PC with different MAC address will be connected to the same port.

<labnarioSW1>
Sep 18 2021 12:51:06-08:00 labnarioSW1 L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1
.4.1.2021.5.25.42.2.1.7.6 The number of MAC address on interface (6/6) GigabitEth
ernet0/0/1 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3
:shutdown)

All the traffic coming from different PC is dropped by the switch. Port GigabitEthernet 0/0/1 has changed its status to restrict, only MAC address of aabb-ccdd-eeff is allowed to send traffic over this port. All the other traffic will be dropped and SNMP message will be generated.

If we want our port to go into different state than the default restrict state, we can use the following options:

[labnarioSW1-GigabitEthernet0/0/1]port-security protect-action ?
  protect    Discard packets
  restrict   Discard packets and warning
  shutdown   shutdown

It is important to note that this secure MAC address, which was learned dynamically by the switch, is stored in a switch memory and will not be aged out, but in case of the switch reload, it will disappear from memory. To avoid this, MAC address sticky can be configured. This option instructs our switch to save this MAC address to the configuration file.

[labnarioSW1-GigabitEthernet0/0/1]port-security mac-address sticky

MAC address sticky has an option to define MAC address manually. This option can be used in case when PC is not actually connected to the switch port and its MAC address cannot be dynamically learned:

[labnarioSW1-GigabitEthernet0/0/1]port-security mac-address sticky aaaa-bbbb-cccc vlan 1

[labnarioSW1-GigabitEthernet0/0/1]display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI    MAC-Tunnel  
-------------------------------------------------------------------------------
aaaa-bbbb-cccc 1           -      -      GE0/0/1         sticky    -    
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

If we want to define more than one secure MAC address (this is the default behavior), we can use a command as follows:

[labnarioSW1-GigabitEthernet0/0/1]port-security max-mac-num 2

Now I can add the second secure MAC address:

[labnarioSW1-GigabitEthernet0/0/1]port-security mac-address sticky cccc-bbbb-aaaa vlan 1
[labnarioSW1-GigabitEthernet0/0/1]display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI    MAC-Tunnel  
-------------------------------------------------------------------------------
aaaa-bbbb-cccc 1           -      -      GE0/0/1         sticky    -    
cccc-bbbb-aaaa 1           -      -      GE0/0/1         sticky    -    

-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2

The last option of the Port Security feature is aging time. By default every MAC address, learned dynamically and stored in a switch memory as a secure MAC address, will not be aged out. This default behavior can be changed and aging time can be set using the following command.

[labnarioSW1-GigabitEthernet0/0/1]port-security aging-time 2

Keep in mind, that this value represents time in minutes.

Port security with protect action shutdown

At the beginning, only two PCs wil be connected to the hub.

Here, firstly, we will enable Port Security under the interface GigabitEthernet0/0/1. Then, we will set the Protect Action as “Shutdown”. After that, we will set the maximum allowed MAC address number in this port. Lastly, we will enable dynamic MAC learning on the interface with “sticky” keyword for this Huawei Port Security Configuration example.

system-view[Huawei] interface GigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1] port-security enable[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 3[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

Now let’s check our interface GigabitEthernet0/0/1 with “display interface brief” command.

Trunk порты

То же самое, только можно указывать поведение не относительно физического интерфейса, а конкретного VLAN’а. Для этого к каждой из предыдущих команд в конце добавляется vlan .

Конфигурация

Что бы эффективно предотвратить ARP spoofing, коммутатор должен иметь информацию о связке MAC-адрес/IP-адрес. Как упоминалось выше, данная информация хранится в таблице DHCP snooping. По этому корректная конфигурация эти две технологии практически всегда использует вместе.

При совместном использовании с DHCP snooping, технология активируется в режиме глобальной конфигурации командой: 

(config)# ip arp inspection vlan <id>

После этого в данном VLAN’е будет разрешен трафик только тех устройств, которые фигурируют в таблице DHCP snooping.

В случае, если устройства НЕ используют DHCP, необходимо проводить дополнительные меры. ARP inspection позволяет использовать статические записи. Для этого создаются списки доступа ARP, создается который из режима глобальной конфигурации командой:

(config)# arp access-list <name>

Синтаксис отдельной записи ниже:


Под таким arp access-list’ом указываются все необходимые статические записи. Далее технология активируется не как прежде, а с опцией

filter

Отдельный интерфейс(ы) можно пометить как доверенные. На этих интерфейсах ARP inspection проводиться не будет:

Практически всегда доверенными устанавливаются Trunk порты (главное об этом не забыть

перед

активированием всего механизма). Но в этом случае важно поднять установленный по умолчанию лимит ARP сообщений — он равен 15, и может быть слишком узким, особенно для транка. Советую поставить 100-ку:


Опционально можно добавить дополнительные проверки на соответствие MAC адресов в заголовках ARP и Ethernet. Делается это командой

ip arp inspection validate <option>

Функционал по каждой опции отдельно можно прочитать

Проверка

Проверить статус технологии, включена ли, использует ли список доступа, статус проверки дополнительных опций и т.п. информацию:

show ip arp inspection vlan <id>


Полезные опции у предыдущей команды (добавить в конце строки) —

statistics

(показывает счетчики дропов и т.п.) и

interfaces

(доверенные интерфейсы, лимиты ARP сообщений).

Source Guard

Сводка команд настройки коммутатора huawei – русские блоги

1. Команды, относящиеся к файлу конфигурации

[Quidway] display current-configuration Показать текущую действующую конфигурацию
 [Quidway] display saved-configuration Отображает файл конфигурации во флэш-памяти, то есть файл конфигурации, используемый при следующем включении.
 сбросить сохраненную конфигурацию Удалить старый файл конфигурации
 перезагрузка Переключить перезагрузку
 отображать версию Отображать информацию о версии системы

2. Базовая конфигурация

[Quidway] супер пароль изменить пароль привилегированного пользователя
 [Quidway] sysname Имя коммутатора
 [Quidway] interface ethernet 1/0/1 Откройте вид интерфейса
 [Quidway] interface vlan 1 Вход в вид интерфейса
 [Quidway-Vlan-interfacex] IP-адрес 10.1.1.11 255.255.0.0 Настройте IP-адрес VLAN
 [Quidway] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 Статический маршрут = шлюз

3. Конфигурация Telnet

[Quidway] пользовательский интерфейс vty 0 4 Вход в виртуальный терминал
 [S3026-ui-vty0-4] пароль режима аутентификации Установить режим пароля
 [S3026-ui-vty0-4] установить пароль режима аутентификации простой xmws123 установить пароль
 [S3026-ui-vty0-4] уровень прав пользователя 3 уровень пользователя

4. Конфигурация порта

[Quidway-Ethernet1 / 0/1] дуплекс {half | full | auto} настраивает рабочий статус порта
 [Quidway-Ethernet1 / 0/1] speed {10 | 100 | auto} Настроить скорость работы порта.
 [Quidway-Ethernet1 / 0/1] flow-control Настроить управление потоком порта
 [Quidway-Ethernet1 / 0/1] mdi {через | авто | нормальный} поворот плоского соединения порта конфигурации
 [Quidway-Ethernet1 / 0/1] port link-type {trunk | access | hybrid} Установите режим работы порта
 [Quidway-Ethernet1 / 0/1] отменить выключение активировать порт
 [Quidway-Ethernet1 / 0/2] выйти Выйти из режима просмотра системы

5. Конфигурация агрегирования ссылок.

[DeviceA] ручной режим группы агрегации каналов 1 Создать группу агрегации 1 вручную
 [Qw_A] interface ethernet 1/0/1 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/1] port link-aggregation group 1
 [Qw_A-Ethernet1 / 0/1] interface ethernet 1/0/2 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/2] port link-aggregation group 1
 [Qw_A] Туннель типа службы 1 группы агрегации каналов # Создать группу кольцевой проверки службы туннеля на основе группы агрегации вручную.
 [Qw_A] interface ethernet 1/0/1 Добавьте порт Ethernet Ethernet1 / 0/1 в сервисную группу обратной связи.
[Qw_A-Ethernet1/0/1] undo stp
[Qw_A-Ethernet1/0/1] port link-aggregation group 1

6. Зеркалирование портов

[Quidway] monitor-port указать порт зеркала
 [Quidway] port mirror Укажите порт для зеркалирования.
 [Quidway] порт-зеркало int_list наблюдающий порт int_type int_num Укажите зеркало и будет зеркалироваться

7. Конфигурация VLAN.

[Quidway] vlan 4 Создать VLAN
 [Quidway-vlan4] порт Ethernet 1/0/1 до Ethernet 1/0/4 добавить порт в VLAN

① Настроить VLAN на основе доступа

[Quidway-Ethernet1 / 0/2] доступ к порту vlan 4 Текущий порт добавлен в VLAN
 Примечание. По умолчанию тип канала порта - Тип доступа, и все порты доступа принадлежат и только принадлежат к VLAN1.

② Настроить VLAN на основе магистрали

[Quidway-Ethernet 1/0/24] port link-type trunk Установите текущий порт в качестве транкового.
 [Quidway-Ethernet 1/0/24] port trunk разрешить vlan {ID | All} установить VLAN, разрешенную транком
 Примечание. По умолчанию все порты разрешают прохождение пакетов VLAN1.
 [Quidway-Ethernet1 / 0/2] port trunk pvid vlan 34 устанавливает PVID транкового порта

③ Настроить VLAN на основе гибридного порта

[Quidway-Ethernet1 / 0/2] порт гибридного типа канала. Настройте тип канала порта как гибридный.
 [Quidway-Ethernet1 / 0/2] port hybrid vlan vlan-id-list {tagged | untagged} Разрешить указанной VLAN проходить через текущий гибридный порт
 Примечание. По умолчанию все гибридные порты позволяют проходить только VLAN1.
 [Quidway-Ethernet1 / 0/2] port hybrid pvid vlan vlan-id Установите VLAN по умолчанию для гибридного порта.
 Примечание. По умолчанию VLAN гибридного порта по умолчанию - VLAN1.

④ Описание VLAN

[Quidway] description string Укажите символ описания VLAN.
 [Quidway] отменить описание удалить символ описания VLAN
 [Quidway] display vlan [vlan_id] Просмотр настроек VLAN

⑤ Конфигурация частной VLAN

[Qw_A-vlanx] isolate-user-vlan enable установить основной vlan
 [Qw_A] Isolate-user-vlan secondary - установить дополнительный vlan, включенный в основной vlan.
 [Quidway-Ethernet1 / 0/2] порт гибридный pvid vlan set vlan pvid
 [Quidway-Ethernet1 / 0/2] гибридный pvid порта удалить pvid vlan
 [Quidway-Ethernet1 / 0/2] порт гибридный vlan vlan_id_list без тегов Установить неопознанный vlan
 Если идентификатор vlan пакета совпадает с PVId, удалите информацию о vlan.По умолчанию PVID = 1.
 Поэтому установите PVID равным идентификатору VLAN владельца и установите для взаимодействующей VLAN непомеченную.

8. Конфигурация STP.

[Quidway] stp {enable | disable} Установить связующее дерево, по умолчанию отключено
 [Quidway] stp mode rstp Установить режим связующего дерева на rstp
 [Quidway] stp priority 8192 Установить приоритет переключателя
 [Quidway] stp root {primary | secondary} задан как корневой или корневой резервный
 [Quidway-Ethernet0 / 1] stp cost 200 Установить стоимость порта коммутатора.
 Конфигурация MSTP:
 # Настройте для доменного имени MST значение info, уровень версии MSTP - 1, отношение сопоставления VLAN таково, что VLAN2 ~ VLAN10 сопоставлены с MSTI 1, а VLAN20 ~ VLAN30 сопоставлены с MSTI 2.
system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration

9. Работа с таблицей MAC-адресов.
① Добавить запись в таблицу MAC-адресов в системном представлении

[Quidway] MAC-адрес {статический | динамический | черная дыра} MAC-адрес интерфейса тип интерфейса номер интерфейса vlan идентификатор vlan; добавить запись в таблицу MAC-адресов

При добавлении записей в таблицу MAC-адресов порт, указанный параметром интерфейса в команде, должен принадлежать к VLAN, указанной параметром vlan, в противном случае добавление не будет выполнено.
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
② Добавить запись в таблицу MAC-адресов в представлении порта Ethernet.

[Quidway-Ethernet1/0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id

При добавлении записи в таблицу MAC-адресов текущий порт должен принадлежать VLAN, указанной параметром vlan в команде, в противном случае добавление завершится неудачно;
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.

[Quidway] таймер MAC-адреса {ageing age | no-age} Установите время устаревания записей в таблице MAC-адресов.

Примечание: По умолчанию время устаревания записей таблицы MAC-адресов составляет 300 секунд.Если используется параметр no-ageing, это означает, что записи таблицы MAC-адресов не будут устаревать.
③ Конфигурация времени устаревания MAC-адреса действует для всех портов, но функция устаревания адреса работает только с динамическими (изученными или настраиваемыми пользователем) записями MAC-адресов.

[Quidway-Ethernet1 / 0/2] mac-address max-mac-count count Установите максимальное количество MAC-адресов, которые порт может узнать;

Примечание. По умолчанию нет ограничений на количество MAC-адресов, полученных портом. И наоборот, если для порта включены функции аутентификации MAC-адреса и безопасности порта, вы не можете настроить максимальное количество MAC-адресов, полученных для порта.

[Quidway-Ethernet1 / 0/2] port-mac start-mac-address Настройте начальное значение MAC-адреса порта Ethernet.

По умолчанию порт Ethernet коммутатора E126 / E126A не настроен с MAC-адресом. Поэтому, когда коммутатор отправляет пакеты протокола уровня 2 (например, STP), он будет использовать MAC-адрес отправляющего порта, поскольку он не может получить MAC-адрес отправляющего порта. MAC-адрес, предварительно установленный протоколом, используется в качестве адреса источника для заполнения сообщения для передачи. В реальной сети, поскольку несколько устройств используют один и тот же исходный MAC-адрес для отправки пакетов протокола уровня 2, это приведет к тому, что один и тот же MAC-адрес будет изучен на разных портах определенного устройства, что может привести к ведению таблицы MAC-адресов. влияет.

[Quidway] отображать mac-адрес Отображать информацию таблицы адресов
 [Quidway] отображение времени устаревания mac-адреса Отображение времени устаревания динамических записей в таблице адресов
 [Quidway] display port-mac Отображение начального значения MAC-адреса порта Ethernet, настроенного пользователем.

10. Конфигурация GVRP.

[Qw_A] gvrp включает глобальный GVRP
 [Qw_A-Ethernet1 / 0/1] gvrp включает GVRP в Ethernet 1/0/1
 [Qw_A-Ethernet1 / 0/1] gvrp registration {fixed | запрещено | normal} Настройте режим регистрации порта GVRP, по умолчанию это нормально. Чтобы
 [Qw_A] отобразить статистику Garp [interface interface-list] Показать статистику GARP
[Qw_A] отобразить таймер garp [interface interface-list] Показать значение таймера GARP
 [Qw_A] отобразить статистику GVRP [interface interface-list] Показать статистику GVRP
 [Qw_A] Показать статус GVRP Показать информацию о глобальном статусе GVRP
 [Qw_A] отобразить gvrp statusreset garp statistics [interface interface-list] Очистить статистику GARP

11. Конфигурация DLDP.

[Qw_A] interface gigabitethernet 1/1/1 
 [Qw_A-GigabitEthernet1 / 1/1] дуплексный полный Настройте порт для работы в принудительном полнодуплексном режиме
 [Qw_A-GigabitEthernet1 / 1/1] скорость 1000 Скорость 1000 Мбит / с
 [Qw_A] dldp enable Включить DLDP глобально.
 [Qw_A] dldp interval 15 Установите интервал для отправки пакетов DLDP равным 15 секундам.
[Qw_A] dldp work-mode { enhance | normal } 
 Настройте режим работы протокола DLDP как расширенный. По умолчанию это нормально.
[Qw_A] dldp unidirectional-shutdown { auto | manual } 
 Настройте режим работы однонаправленного канала DLDP на автоматический режим. По умолчанию авто
 Qw_A] display dldp 1 Просмотр статуса DLDP.

① Когда оптоволокно перекрестно, два или три порта могут находиться в отключенном состоянии, а остальные порты находятся в неактивном состоянии.
② Когда один конец оптического волокна подключен правильно, а другой конец не подключен:
Если рабочий режим DLDP нормальный, то конечный приемный световой сигнал находится в состоянии объявления, а конечный, не получающий световой сигнал, находится в неактивном состоянии.
Если рабочий режим DLDP является улучшенным, индикатор на конце приема находится в состоянии «Отключено», а конец, не получающий свет, находится в состоянии «Неактивно».
③ Команда dldp reset может сбросить статус DLDP всех портов в глобальном масштабе, а также может повторно зарядить статус DLDP порта под интерфейсом.

12. Конфигурация изоляции порта.
① С помощью функции изоляции портов пользователи могут добавлять порты, которыми необходимо управлять, в группу изоляции, чтобы реализовать изоляцию данных второго и третьего уровня между портами в группе изоляции, что улучшает Для повышения безопасности сети он также предоставляет пользователям гибкое сетевое решение.

[Sysname] interface ethernet1 / 0/2 Добавьте порт Ethernet Ethernet1 / 0/2 в группу изоляции.
[Sysname-Ethernet1/0/2] port isolate
 [Sysname] отобразить изолированный порт Показать информацию о порте в группе изоляции

② После настройки группы изоляции не могут обмениваться данными только пакеты между портами в группе изоляции.Связь между портами в группе изоляции и портами за пределами группы изоляции не будет затронута.
③ Функция изоляции порта не имеет ничего общего с VLAN, к которой принадлежит порт Ethernet.
④ Когда порт в группе агрегации присоединяется к группе изоляции или покидает ее, другие порты в той же группе агрегации на этом устройстве автоматически присоединяются или покидают группу изоляции.
⑤ Для группы портов, которые одновременно входят в группу агрегации и группу изоляции, когда один из портов покидает группу агрегации, другие порты не будут затронуты, то есть другие порты останутся в исходном состоянии. В группе агрегации и исходной группе изоляции.
⑥ Если порты в группе агрегации принадлежат к группе изоляции одновременно, когда группа агрегации удаляется непосредственно в системном представлении, порты в группе агрегации по-прежнему будут в группе изоляции в.
⑦ Когда порт в группе изоляции присоединяется к группе агрегации, все порты в группе агрегации автоматически добавляются в группу изоляции.

13. Конфигурация безопасности порта.

[Switch] port-security enable Включить функцию безопасности порта
 [Switch] interface Ethernet 1/0/1 Вход в порт Ethernet 1/0/1.
[Switch-Ethernet1/0/1] port-security max-mac-count 80 
 Установите максимальное количество MAC-адресов, разрешенных для порта, на 80.
 [Switch-Ethernet1 / 0/1] port-security port-mode autolearn Настроить режим безопасности порта как autolearn.
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 
 Добавьте MAC-адрес хоста 0001-0002-0003 в качестве MAC-адреса безопасности в VLAN 1
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily 
 Установите срабатывание защиты от вторжений, временно закройте порт
 [Switch] port-security timer disableport 30 Время закрытия 30 секунд.

14. Конфигурация привязки порта
С помощью функции привязки порта сетевой администратор может привязать MAC-адрес и IP-адрес пользователя к указанному порту. После операции привязки коммутатор пересылает только сообщения, отправленные пользователем с указанным MAC-адресом и IP-адресом, полученным из порта, что повышает безопасность системы и улучшает мониторинг сетевой безопасности.

[Qw_A-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1

Привяжите MAC-адрес и IP-адрес узла 1 к порту Ethernet1 / 0/1.
Конфигурация привязки на некоторых переключателях отличается

[Qw_A] interface ethernet 1/0/2
[Qw_A-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
 Конфигурация фильтрации портов
 [Qw_A] interface ethernet1 / 0/1 Настройте функцию фильтрации порта Ethernet1 / 0/1.
[Qw_A-Ethernet1/0/1] ip check source ip-address mac-address
 [Qw_A] dhcp-snooping Включение функции DHCP Snooping.
[Qw_A] interface ethernet1/0/2 
 Установите порт Ethernet1 / 0/2, подключенный к DHCP-серверу, как доверенный порт.
[Qw_A-Ethernet1/0/2] dhcp-snooping trust
 Включите фильтрацию IP-адресов на порте Ethernet1 / 0/1, чтобы клиенты не могли использовать поддельные IP-адреса источника для атаки на сервер.

15. Конфигурация BFD
Qw_A, Qw_B и Qw_C доступны друг другу. Настройте статический маршрут на Qw_A для достижения Qw_C и включите функцию обнаружения BFD.
① Настройте статический маршрут на Qw_A, включите функцию обнаружения BFD и реализуйте функцию BFD с помощью эхо-сообщений BFD.

<Qw_A> system-view
[Qw_A] bfd echo-source-ip 123.1.1.1
[Qw_A] interface vlan-interface 10
[Qw_A-vlan-interface10] bfd min-echo-receive-interval 300
[Qw_A-vlan-interface10] bfd detect-multiplier 7 
[Qw_A-vlan-interface10] quit
[Qw_A] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet

② Включите переключатель отладочной информации функции BFD на Qw_A.

<Qw_A> debugging bfd event
<>Qw_A> debugging bfd scm
<Qw_A> terminal debugging

③ На Qw_A вы можете включить переключатель отладочной информации функции BFD, отключить связь между Hub и Qw_B и проверить результат конфигурации. Результат проверки показывает, что
④ Qw_A может быстро определить изменение связи между Qw_A и Qw_B.

16. Конфигурация QinQ
Провайдер A и провайдер B соединены через магистральный порт. Провайдер A принадлежит VLAN 1000 сети оператора связи, а поставщик B принадлежит VLAN 2000 сети оператора связи.
Между поставщиком A и поставщиком B оператор использует оборудование других производителей, а значение TPID равно 0x8200.
Я надеюсь, что после настройки будут выполнены следующие требования:
Пакеты VLAN10 клиента A могут связываться с пакетами VLAN10 клиента B после пересылки сетью VLAN1000 оператора связи; пакеты VLAN20 клиента A могут быть
Пакеты и VLAN20 клиента C пересылаются сетью VLAN2000 оператора связи, а затем обмениваются данными друг с другом.
[ProviderA] interface ethernet 1/0/1 # Настройте порт как гибридный порт и разрешите прохождение пакетов VLAN10, VLAN20, VLAN1000 и VLAN2000 и удалите внешний тег при отправке.

[ProviderA-Ethernet1/0/1] port link-type hybrid
[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000 

Инкапсулируйте пакеты из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000 

Инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20
 [ProviderA] interface ethernet 1/0/2 VLAN по умолчанию для порта конфигурации - VLAN1000.
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable 

Настройте базовую функцию QinQ порта для инкапсуляции пакетов из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

[ProviderA] interface ethernet 1/0/3 

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

[ProviderB] interface ethernet 1/0/1 

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2 # Настройте VLAN по умолчанию для порта как VLAN2000.
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable 

Настройте базовую функцию QinQ порта и инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Узнайте больше о Huawei

Русские Блоги Сводка команд настройки коммутатора Huawei
Оцените статью
Huawei Devices
Добавить комментарий

© 2024 Huawei Devices