HCIP-RS学习笔记(In Updating)
交换部分
Vlan
在现有的交换网络环境中,以太网的帧有两种格式:没有加上VLAN标记的标准以太网帧(untagged frame);有VLAN标记的以太网帧(tagged frame)。
802.1Q(Dot1q)标签结构
VLAN标签长4个字节,直接添加在以太网帧头中
TPID:Tag Protocol Identifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
TCI:Tag Control Information,2字节。帧的控制信息,详细说明如下:
- Priority:3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧。
- CFI:Canonical Format Indicator,1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0。
- VLAN Identifier:VLAN ID,12比特,在X7系列交换机中,可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用。
MUX VLAN
主VLAN(混杂端口)和从VLAN(组VLAN和隔离VLAN)
VLAN10:主VLAN
VLAN20:从VLAN(隔离VLAN)
VLAN30:从VLAN(组VLAN)
注:从VLAN都可以和主VLAN互通,同一个组VLAN内可以互通,不同组VLAN间不能互通。同一个隔离VLAN内不能互通,不同隔离VLAN间不能互通。
注:华为MUX VLAN只在本地有效,无法实现跨设备隔离。
VxLAN
VxLAN基于UDP封装,将以太网数据帧封装在IP报文中的UDP之上,所以被称为MAC in UDP的封装
VNI:VXLAN网络标识,用于区分VXLAN段,由24比特组成,支持多达16M的租户。
VxLAN用户是可以通过VxLAN接口访问互联网的。
VxLAN通信过程是:
- 源VTEP源VM发送的ARP广播封装为组播豹纹发送到L3网络中
- 目的VTEP收到组播报文后,学习源VM与源VTEP映射关系,并将组播豹纹转发给本地VM
- 本地VM进行单播应答
- 目的VTEP封装Vxian隧道,并建立映射表封最后单播发给源VTEP
- 源VTEP收到应建立目标VM与目标VTEP映射关系,去掉隧道转发源VM
- 源VM与目标通过隧道进行单播报文通信
代理ARP
| ARP Proxy方式 | 解决的问题 |
|---|---|
| 路由式ARP Proxy | 解决同一网段不同物理网络上计算机的互通问题。 |
| VLAN内ARP Proxy | 解决相同VLAN内,且VLAN配置用户隔离后的网络上计算机互通问题 |
| VLAN间ARP Proxy | 解决不同VLAN之间对应计算机的三层互通问题 |
QinQ
QinQ技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。
基本QinQ是基于接口方式实现的;QinQ技术可以使私网VLAN在公网上透传;灵活QinQ可以根据不同的内层Tag而加上不同的外层Tag,对于用户VLAN的划分更加细致;VLAN空间扩展到4094x4094 (0和4095为协议保留取值)。
基于端口QinQ
配置了此功能的端口,设备会为从此端口进入的报文打上一层VLAN ID为端口PVID的外层VLAN tag。
基于端口的QinQ通过配置端口类型为dot1q-tunnel实现。
当端口类型为dot1q-tunnel时,该端口加入的VLAN不支持二层组播功能。
配置
1 | |
灵活QinQ
灵活QINQ只能用在hybrid接口,trunk口无法实现。
配置
1 | |
配置命令说明
port link-type hybrid- 灵活QinQ的接入端口类型可以配置为trunk或hybrid,根据具体情况而定。默认为hybrid,此时这条命令可不配。
port hybrid untagged vlan 3- 配置接口以Untagged方式加入叠加后的VLAN。
- 叠加后的外层VLAN必须是设备上已存在的VLAN,叠加前的VLAN可以不创建。
- 配置后,接口在发送帧时会将帧中的Tag剥离。
- 如果在同一接口上多次使用此命令,则最终是多次配置的合集。
port vlan-stacking vlan 200 to 300 stack-vlan 3- 配置灵活QinQ,在VLAN 200到300的用户VLAN上添加外层VLAN 3。
路由部分
BGP
网络安全技术
端口隔离
隔离类型
- 双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
- 单向隔离:实现不同端口隔离组的接口之间的隔离。缺省情况下,未配置端口单向隔离。
隔离模式
- L2(二层隔离三层互通):隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
- ALL(二层三层都隔离):同一VLAN的不同端口下用户二三层彻底隔离无法通信。
MAC地址安全
MAC地址表项类型
- 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
- 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃
- 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
MAC地址表安全功能
- 静态MAC地址表项:将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项可以保证其安全通信。
- 黑洞MAC地址表项:防止黑客通过MAC地址攻击网络,交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。
- 动态MAC地址老化时间:合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长。默认老化时间是300S
- 禁止MAC地址学习功能:对于网络环境固定的场景或者已经明确转发路径的场景,通过配置禁止MAC地址学习功能,可以限制非信任用户接入,防止MAC地址攻击提高网络安全性。
- 限制MAC地址学习数量:在安全性较差的网路环境中,通过限制MAC地址学习数量,可以防止攻击者通过变换MAC地址进行攻击。
端口安全
能够防止MAC地址欺骗攻击和MAC地址泛洪攻击
安全MAC地址
安全动态MAC地址的老化类型分为:绝对时间老化和相对时间老化:
- 如设置绝对老化时间为5分钟:系统隔1分钟计算一次每个MAC的存在时间,若大于等于5分钟,则立即将该安全动态MAC地址老化。否则,等待下1分钟再检测计算。
- 如设置相对老化时间为5分钟:系统每隔1分钟检测一次是否有该MAC的流量,若没有流量,则经过5分钟后将该安全动态MAC地址老化。
- 华为交换机AC地址表中动态Sticky MAC地址的默认老化时间是不会老化
| 类型 | 定义 | 特点 |
|---|---|---|
| 安全动态MAC地址 | 使能端口安全而未使能Sticky MAC功能时转换的MAC地址 | 设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 |
| 安全静态MAC地址 | 使能端口安全时手工配置的静态MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
| Sticky MAC地址 | 使能端口安全又同时使能Sticky MAC功能时转换到的MAC地址 | 不会被老化,手动保存配置后重启设备不会丢失。 开启了sticky MAC功能之后,缺省接口学习的mac地址数量为1 |
安全保护动作
- Restrict:丢弃源MAC地址不存在的报文并上报告警,合法的正常通信,非法的产生日志。
- Protect:只丢弃源MAC地址不存在的报文,不上报告警。
- Shutdown:接口状态被置为error-down,并上报告警。
MAC地址漂移
如果是环路引发MAC地址漂移,治本的方法是部署防环技术,例如STP,消除二层环路。如果由于网络攻击等其他原因引起,则可使用如下MAC地址防漂移特性:
- 配置接口MAC地址学习优先级:当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项。
- 配置不允许相同优先级接口MAC地址漂移:当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项。在配置不允许相同优先级接口MAC地址漂移时如果安全则交换机仍会学习到伪造网络设备的MAC地址,当网络设备下电再次上电时将无法学习到正确的MAC地址:如果交换机的接口连接的网络设备是服务器,当服务器下电后,因比该特性需谨值傅用另外的接口学习到与服务器相同的MAC地址习到正确的MAC地址
MAC地址漂移检测
交换机支持MAC地址漂移检测机制,分为以下两种方式:
基于VLAN的MAC地址漂移检测
- 配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移
- 当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址(无法阻断VLAN和进行流量过滤)。
全局MAC地址漂移检测
- 该功能可以检测设备上的所有的MAC地址是否发生了漂移。
- 若发生漂移,设备会上报告警到网管系统。
- 用户也可以指定发生漂移后的处理动作,例如将接口关闭(error-down)或退出VLAN。
- 如果接口由于发生了MAC地址漂移从而被设置为Error-Down,默认情况下是不会自动恢复的。
MACsec
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加保证数据传输安全性,对应的标准为802.1AE。
可提供:用户数据加密、完整性检查、数据源真实性校验、重放保护
典型应用场景
- 在交换机之间部署MACsec保护数据安全,例如在接入交换机与上联的汇聚或核心交换机之间部署。
- 当交换机之间存在传输设备时可部署MACsec保护数据安全。
工作机制
在设备运行点到点MACsec时,网络管理员在两台设备上通过命令行预配置相同的CAK,两台设备会通过MKA协议选举出-个Key server,Key server决定加密方案,Key server会根据CAK等参数使用某种加密算法生成SAK数据密钥,由Key server将SAK分发给对端设备,这样两台设备拥有相同的SAK数据密钥,可以进行后续MACsec数据报文加解密收发。
流量控制
流量抑制技术
流量抑制可以通过配置阈值来限制广播、未知组播、未知单播已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
工作原理
- 在接口入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
- 在VLAN视图下,设备支持对广播报文按比特速率进行流量抑制。设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
应用
交换机接口出方向,通过流量抑制功能可以阻塞广播、未知组播和未知单播报文。
交换机VLAN视图下,通过配置VLAN内流量抑制限制VLAN内广播。
风暴控制
风暴控制可以通过阻塞报文或关闭端口来阻断广播、未知组播和未知单播报文产生的广播风暴。
风暴控制中,只可以为接口入方向的报文流量配置阈值。当流量超过阈值时,系统会阻塞该接口收到的该类型报文流量或者直接将该接口关闭。
流量抑制与风暴控制的主要区别是:风暴控制功能可以对端口下发惩罚动作(block和shutdown),而流量抑制功能只是对端口流量进行限制
DHCP Snooping
DHCP绑定表包括:用户IP地址、租约时间、待绑定IP地址、用户MAC地址、待绑定主机MAC地址
概述
- 为了保证网络通信业务的安全性,引入了DHCPSnooping技术,在DHCP client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。
- DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
- 目前DHCP协议在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCPServer仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
- DHCP Snooping主要是通过DHCP Snooping信任功能和DHCP Snooping绑定表实现DHCP网络安全。
- DHCP Snooping绑定表是从DHCP ACK报文中获取信息并生成。
DHCP Snooping信任功能
- DHCP Snooping的信任功能,能够保证DHCP客户端从合法的DHCP服务器获取IP地址。
- DHCP Snooping信任功能将接口分为信任接口和非信任接口
- 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
- 设备只将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器,不会向非信任接口转发。
- 非信任接口收到的DHCP Server发送的DHCP OFFER、DHCP ACK、DHCP NAK报文会被直接丢弃。
DHCP Snooping防饿死攻击
- 攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
- 漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
- 解决方法:对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请求。
DHCP Snooping防改变CHADDR值的DOS攻击
- 攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
- 漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
- 解决方法:为了避免受到攻击者改变CHADDR值的攻击,可以在设备上配置DHCPsnooping功能,检查DHCP Reguest报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务。中继的情况不能开启此功能。
DHCP Snooping防DHCP中间人攻击
- 攻击原理:攻击者利用ARP机制,让client学习到DHCP ServerIP与AttackerMAC的映射关系,又让Server学习到client IP与Attacker Mac的映射关系。如此一来,client与Server之间交互的IP报文都会经过攻击者中转。
- 漏洞分析:从本质上讲,中间人攻击是一种spoofingIP/MAC攻击,中间人利用了虚假的IP地址与MAc地址之间的映射关系来同时欺骗DHCP的客户端和服务器。
- 解决方法:为防御中间人攻击与IP/MAc spoofing攻击,可使用DHCP snooping的绑定表工作模式,当接口接收到ARP或者IP报文,使用ARP或者IP报文中的“源IP+源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发,如果不匹配就丢弃。
IPSG
- IP地址欺骗攻击中,攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。
- IP源防攻击(IPSG,IP Source Guard)是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网恪。
- IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。常见的绑定表有静态绑定表和DHCPSnooping动态绑定表。
防火墙的双机热备
- 双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsecSA等)
- 当一台防火墙出故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
部署要求
- 目前只支持两台设备进行双机热备。
- 主备设备的产品型号和版本必须相同。
- 主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
关键组件
- VRRP(Virtual Router Redundancy Protocol):VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,备份路由器能自动代替前者完成报文转发任务,从而保持网络通信的连续性和可靠性。
- VGMP(VRRP Group Managemennt Protocol):将防火墙上的所有VRRP组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化,则VGMP组会控制组中的所有VRRP组统一进行状态切换,保证各VRRP备份组状态的一致性。
- HRP(HUAWEI Redundancy Protocool):实现防火墙双机之间动态转发数据和关键配置命令的备份。
- 防火墙能够备份的配置有:
- 策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等
- 对象:地址、地区、服务、应用、用户等
- 网络:安全区域、DNS、Ipsec、SSL VPN等
- 系统:管理员、虚拟系统、日志配置
- 防火墙能够备份的状态信息有:
- 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。
典型场景
双机热备直路部署,连接二层设备
- 防火墙的业务接口工作在三层、上下行连接交换机
- 终端可将默认网关设置为VRRP VRID1的虚拟IP地址。SW3/SW4配置回程路由时,可将下一跳设置为VRRP VRID100的虚拟IP地址
双机热备直路部署,连接三层设备
- 防火墙的业务接口工作在三层、上下行连接路由器
- 防火墙与路由器之间运行OSPF。当FW1的业务接口故障时,其切换成备用设备,FW2成为主用设备。FW1发布的路由Cost值自动修改65500。路由重新收敛后,流量通过FW2转发。
RED技术
RED通过随机地丢弃数据报文,让多个TCP连接不同时降低发送速度,从而避免了TCP全局同步现象。
启用防TC-BPDU报文攻击功能后,收到TC_BPDU报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。对于其他超出阈值的TC_BPDU报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。