办公区的交换机为了防止常见的各种arp、ip攻击,以及禁止同一vlan的电脑相互通信(比如自建smb、ftp服务器传输文件等),参考华为的安全配置指南总结如下:
场景:公司每台电脑与可网管交换机一对一连接,且电脑位置相对固定不会有频繁变动
进入系统视图
system-view
使能bpdu保护
stp bpdu-protection
使能icmp流量抑制功能
icmp rate-limit enable
使能基于ipv4的dhcp snooping、探测非法dhcp服务器、自动备份dhcp snooping绑定表
dhcp enable
dhcp snooping enable ipv4
dhcp server detect
dhcp snooping user-bind autosave flash:/dhcp_snooping_autobackup.tbl
创建临时端口组
interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/48
以下基于临时端口组进行配置
创建端口隔离组
port-isolate enable group 1
使能端口安全
port-security enable
配置端口学习到的最大mac数量为1
port-security max-mac-num 1
使能端口的dhcp snooping功能
dhcp snooping enable
使能IP源防护及报警功能
ipv4 source check user-bind enable
ip source check user-bind alarm enable
使能ARP检测及报警功能
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
使能ARP报文限速及报警功能
arp anti-attack rate-limit enable
arp anti-attack rate-limit alarm enable
使能dhcp request报文防护及报警功能
dhcp snooping check dhcp-request enable
dhcp snooping alarm dhcp-request enable
使能dhcp chaddr报文防护及报警功能
dhcp snooping check dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr enable
使能dhcp报文泛洪防护及报警功能
dhcp snooping check dhcp-rate enable
dhcp snooping alarm dhcp-rate enable
丢弃dhcp giaddr非零报文
dhcp snooping check dhcp-giaddr enable
配置每个端口的dhcp client为1
dhcp snooping max-user-number 1
设置为边缘端口,用于bpdu保护
stp edged-port enable
抑制广播流量、未知组播流量、未知单播流量、已知组播流量、已知单播流量,百分比值为80%
broadcast-suppression 80
multicast-suppression 80
unicast-suppression 80
known-multicast-suppression 80
known-unicast-suppression 80
控制广播风暴、未知组播风暴、未知单播风暴,配置控制动作为阻塞报文,使能日志记录功能,配置检测时间
storm-control broadcast min-rate 1000 max-rate 2000
storm-control multicast min-rate 1000 max-rate 2000
storm-control unicast min-rate 1000 max-rate 2000
storm-control action block
storm-control enable log
storm-control interval 90
接入层交换机连接核心交换机的接口会配置为dhcp snooping可信端口
来源: 华为企业社区
页面更新:2024-04-12
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号