交换安全之流量安全

与流量互访策略相关。

Storm-control

终端接入传统交换网络时可能以单播、组播或广播的方式发送数据包,trunk 链路可以承载全网的组播与广播流,如果终端除单播流量外还有大流量的组播、广播流量,交换机默认操作是将这些流量泛洪到其余的 trunk 链路中去,此行为会产生广播风暴并消耗大量的带宽。

风暴控制,进行速率上的限制,用来抑制广播风暴。

部署(用于接入口):
interface FastEthernet0/1
switchport mode access
spanning-tree portfast
storm-control broadcast level 10.00 //限制广播包最大为端口的百分之十
storm-control multicast level pps 2m //限制组播包 2百万个/秒
storm-control unicast level bps 1m //限制单播包 1M 比特/秒
storm-control action shutdown //若超过阀值,则关闭端口
storm-control action trap //若超过阀值,告知网管平台 H3C iMC

errdisable recovery cause storm-control
errdisable recovery interval 30

VACL

交换安全之流量安全-Storm-control、VACL、SPAN、PVLAN
三层交换机由二层交换机和路由器组成,上图描述的是一个三层交换机的内容。

ACL 包括 RACL(router ACL)、VACL(vlan ACL)、PACL(port ACL)

VACL,实现不同 VLAN(不同部门)的互访控制,与常规路由器的 ACL 相比更底层,在硬件层面就可以实现同样的需求,降低了 CPU 的消耗。

部署:
// 由于 VLAN 间通信需要经过三层交换机,所有 VLAN 的互访控制 VACL 也需要在三层汇聚层交换机上执行

第一步,抓取流量
access-list 1 permit 192.168.30.0 0.0.0.255

第二步,定义 VACL
vlan access-map DENY30 10 //编写 VACL,名字为 DENY30
action drop //执行拒绝动作
match ip address 1 //匹配感兴趣流量
vlan access-map DENY30 20
action forward //执行转发动作

第三步,调用到 VLAN 中
vlan filter DENY30 vlan-list 10 //在 VLAN10 中调用 DENY30 的策略

另一种写法:
access-list 1 permit 192.168.20.0 0.0.0.255

vlan access-map HAHA 10
match ip address 1
action forward
vlan access-map HAHA 20
action drop

vlan filter HAHA vlan-list 10

SPAN

入侵防御系统中,出口有防火墙,DMZ 区域有服务集群,部署一台入侵防御产品防御来自互联网的攻击。实施的防御基于流量识别,前提是需要将整网的流量拷贝一份用于对比。

SPAN 是一种交换机的端口镜像技术,用于向入侵防御产品提供网络数据流,在不影响源端口的数据通信的情况下,将源端口发送或接收的数据包复制一份发送到监控端口,分为 Local SPAN(被监听者与监听端口处于同一交换机)和 Remote SPAN(被监听者与监听端口不在一个交换网络)。
交换安全之流量安全-Storm-control、VACL、SPAN、PVLAN
PC1 安装了 wireshark 想要抓取 PC2 和其他电脑的通信,正常情况下,交换机严格按照 CAM 表进行转发,不会把单播流量发送给其他非目的终端,但是 SPAN 抓包技术不遵循这个规则,不受 CAM 表的约束,随意的抓取。

Local SPAN 部署(二层交换机上):
monitor session 1 source interface F2/0
monitor session 1 destination interface F1/0
交换安全之流量安全-Storm-control、VACL、SPAN、PVLAN
PC3 安装了 wireshark 想要抓取 PC1 和 PC2 之间的通信流量。从 PC1 端 f1/0 抓取到流量丢到 C3550,部署 remote vlan 承载该流量(不是用户通信包,而是被抓取的分析包,需要专门的管道),并将流量传到 PC3 端的 f3/0 口。

Remote SPAN 部署:
1、定义 Remote VLAN //所有经过的交换机都需要部署
vlan 200
remote-span

2、在被监听交换机(C3550)上将流量引入 remote vlan
monitor session 1 source interface f1/0
monitor session 1 destination remote vlan 200 reflect-port f0/ 4
//reflect-port 反射端口(有的设备不需要),相当于一个缓存,转到管道的流量缓存一下再出去

3、在监听交换机(C3750)上将流量引入监听端口
monitor session 1 source remote vlan 200
monitor session 1 destination interface f3/0

PVLAN

私有 vlan 技术,更多应用场景是在数据中心,交换机下 vlan 数量多达4096仍然满足不了需求,例如阿里云、腾讯云租服务器时,正常讲需要在租户租赁其中一台服务器时划分一个单独的 vlan,然而 vlan 数量受限不能满足这样的需求。可以通过在一个 vlan 中创建 子vlan 的方式来扩大服务数量。

主vlan 划分出的 子vlan 有两个规则,分别为 团体vlan 和 隔离vlan,二者的区别在于团体 vlan 内部所有的服务器是可通信的,隔离 vlan 内部的是不可通信的。

同属一个 vlan 的服务器本是应该相互连通,可以进行通信的,但是为了防止某台服务器受到攻击后被当作跳板进而破坏其他的节点,就可以在关联程度低的服务器之间进行隔离,提高安全性。
交换安全之流量安全-Storm-control、VACL、SPAN、PVLAN
三种端口类型:
隔离端口(isolated):隔离 vlan 的接口 ,只能和混杂端口通信;
团体端口(community):团体 vlan 的接口,可以与团体內部接口以及混杂端口通信;
混杂端口(promiscuous):可以和所有的端口通信。

部署(二层交换机):
1、设置主 VLAN
vlan 200
private-vlan primary

2、设置二级子 VLAN
vlan 201 .
private-vlan isolated //设置为隔离 VLAN
vlan 202
private-vlan community //设置为联盟 VLAN

3、将子 VLAN 划入主 VLAN 中,建立一个联系或者关联
vlan 200
private-vlan association 201-202
vlan 200
private-vlan association add 203 //加入一个子 VLAN
private-vlan association remove 203 //移除一个子 VLAN

4、将端口设定一个模式,并划入相应的 VLAN 中
int e0
switchport mode private-vlan host //设置端口模式,根据子 VLAN 类型成为相应的端口
switchport private-vlan host-association 200 201 //将端口划入 VLAN200 中的子 VLAN201
show vlan private-vlan
int e0
switchport mode private-vlan promiscuous //设置混杂端口
switchport private-vlan mapping 200 201-202 //设定混杂端口所能管理的子 VLAN
switchport private-vlan mapping 200 add/remove 203 //增加或移除一个可管理的子 VLAN

相关文章:

  • 2021-06-28
  • 2022-01-12
  • 2021-11-26
  • 2021-04-22
猜你喜欢
  • 2021-04-26
  • 2022-01-04
  • 2021-12-22
  • 2021-04-18
  • 2021-08-15
  • 2021-05-19
  • 2022-12-23
相关资源
相似解决方案