接入交换机作为计算机终端直接连接的网络设备,面对较为复杂的安全形势。可以通过一些常用的配置增强交换机应对网络威胁能力。本经验以华为交换机为例。
工具/原料
电脑,交换机
方法/步骤
1、接入层配置ARP表项严格学习功能和ARP表项固化功能,实现防止伪造的ARP报文错误的更新交换机的ARP表项,配置命令如下:
2、配置根据源IP地址进行ARPMiss消息限速(如允许交换机每秒最多处理同一源IP地址触发的闸拊福律20个AR霸烹钟爷PMiss消息),防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARPMiss消息,形成ARP泛洪攻击,配置命令如下:
3、配置根据源MAC地址进行ARP限速,实现防止用户发送大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击(如每秒最多只允许10个MAC地址为001a-19bf-cd61的ARP报文通过),配置命令如下:
4、配置免费ARP主动丢弃功能,实现防止伪造的免费ARP报文错误更新设备ARP表项,配置命令如下:
5、绑定IP-MAC地址,并指定交换机接口及VLAN,配置命令如下:
6、全局使能DHCPSnooping,并防止DHCPRequest报文攻击,配置命令如下:
7、用户接口配置DHCP策略,配置DHCPReply报文丢弃告警功能,在DHCPC盟敢势袂linet侧的接口配置进行CHADDR检酴兑镗笄查和告警功能,这样可以防止改变CHADDR值的DoS攻击,并使能DHCPRequest报文检查和告警功能,这样可以防止仿冒DHCP续租报文的攻击,配置命令如下:
