1、請定期檢查設備是否加載最新補丁,且補丁狀態正常
華為技術支持網站不定期發布交換機版本的最新補丁,可以解決已經發現的產品軟件問題,避免類似問題在現網發生,造成不必要的影響。
軟件已知質量問題在現網發生率遠遠高于未知質量問題,請盡量保證設備加載了最新發布的補丁。使用下面的命令行查詢設備的補丁。
Patch Package Name :cfcard:/s9700v200r001sph00X.pat
Patch Package Version:V200R001SPH00X
The state of the patch state file is: Running
The current state is: Running
************************************************************************
* The hot patch information, as follows: *
************************************************************************
Slot Type State Count
------------------------------------------------------------
7 C Running 202
8 C Running 202
1 HSP Running 62
1 APP Running 31
3 HSP Running 62
3 APP Running 31
判斷補丁版本是否符合要求:
如上加粗部分是補丁版本號,建議定期從華為技術支持網站下載最新補丁。
State這一列顯示補丁的運行狀態,必須保證所有的補丁都處于Running狀態。如果有補丁處于active或者deactive狀態,必須通過patch active和patch run命令運行補丁。
2、端口是否需要加入VLAN 1
因為交換機端口默認加入VLAN 1,使用某一端口前,請判斷該端口是否需要加入VLAN 1,如果不需要則將端口退出VLAN 1,以避免VLAN 1環路。另外,管理VLAN也要避免使用VLAN 1。
因為交換機默認所有端口已經加入VLAN 1,容易引起廣播風暴。
通過命令行display vlan 1 查看端口是否加入VLAN 1;通過命令display interface vlanif 查看是否使用VLAN 1作為管理VLAN。
3、部署STP協議時,需要配置邊緣接口和TC保護
連接用戶終端的接口,由于變動頻繁導致STP網絡震蕩觸發TC報文產生,或者受到攻擊時,導致交換機收到大量TC報文,會消耗大量的CPU資源,導致交換機CPU占用率升高,進而出現丟包、流量下降等問題。
交換機收到大量TC報文上會消耗大量的CPU資源,導致交換機CPU高,進而出現丟包、流量下降等問題。
判斷方法:
1、查看日志中是否有收到大量TC報文的記錄。
2、交換機可以通過命令行display stp tc-bpdu statistics,實時查看TC報文的接收情況。
3、 交換機在作為三層網關時,大量的TC報文導致頻繁的清除ARP表項,使得很多三層報文上送交換機,觸發arp-miss流程,可能會出現超過arp-miss的cpcar門限值,在日志中可能會有相應的記錄。
4、框式交換機作為二層轉發時,由于頻繁的刪除MAC表項,使得大量二層報文走了廣播流程,端口流量可能會達到端口帶寬,在診斷日志文件中會有相應記錄。建議方案:針對連接用戶側的接口,配置邊緣端口和TC保護。相關命令配置如下:
[HUAWEI] stp bpdu-protection
[HUAWEI] stp tc-protection
[HUAWEI] stp edged-port enable
4、電口對接時,盡量避免端口協商成半雙工
電口對接有可能兩端端口協商模式不一致或者其它原因,導致端口被協商成了半雙工。一般達到帶寬的百分之十五左右,就會造成報文沖撞、沖突,從而導致錯包、丟包等問題。
端口模式不一致或者網線等問題有可能會發生端口出現半雙工的情況。
在端口模式下使用display this interface命令可以查看端口的雙工情況。
[HUAWEI-GigabitEthernet0/0/1] display this interface
..........
Duplex: FULL, Negotiation: ENABLE
建議方案:通過調整自協商模式或者檢查鏈路質量,確保協商結果為全雙工。
5、部署STP協議時,建議將Eth-Trunk接口的cost值設置為固定值
Eth-trunk接口的成員口物理狀態變化后,Eth-Trunk接口的cost值會有調整,導致STP重新收斂,進而影響業務。
Eth-Trunk接口的開銷為單個成員接口的開銷除以成員接口數量,所以當成員口狀態變化時Eth-trunk接口的cost值會變化;另外cost值越小說明鏈路質量越高,所以建議修改Eth-Trunk接口的cost值使其小于物理端口的cost值。
判斷方法:交換機下是否有Eth-Trunk接口使能了STP。建議方案:修改Eth-Trunk接口的cost值使其小于物理端口的cost值。
6、框式交換機部署集群時,必須配置CSS ID
框式交換機部署集群特性時,必須使用set css id 命令將成員交換機的CSS ID設置成1和2。
因為框式交換機的默認CSS ID為1,如果不手動修改,會導致兩個設備的CSS ID相同而沖突,導致集群無法建立。
使用display css status命令可以查看到本設備的集群參數。
[HUAWEI] display css status
7、框式交換機IPv6特性需要License支持
框式交換機配置IPv6業務,需要License支持。通過如下命令行查看License是否生效。
Info: No license is activated.
本文以華為設備為例
ARP安全簡介
ARP(Address Resolution Protocol)安全是針對ARP攻擊的一種安全特性,它通過一系列對ARP表項學習和ARP報文處理的限制、檢查等措施來保證網絡設備的安全性。ARP安全特性不僅能夠防范針對ARP協議的攻擊,還可以防范網段掃描攻擊等基于ARP協議的攻擊。
常見的ARP攻擊如下:
用戶主機直接接入網關,攻擊者將偽造網關的ARP報文發送給用戶主機,使用戶主機誤以為攻擊者即為網關。用戶主機的ARP表中會記錄錯誤的網關地址映射關系,這樣就會把發往網關的流量均發送給了攻擊者,攻擊者可輕易竊聽到用戶主機發送的數據內容。
網絡中有用戶向設備發送大量目的IP地址不能解析的IP報文(即路由表中存在該IP報文的目的IP對應的路由表項,但設備上沒有該路由表項中下一跳對應的ARP表項),將導致設備觸發大量的ARP Miss消息。這種觸發ARP Miss消息的IP報文(即ARP Miss報文)會被上送到CPU進行處理,設備會根據ARP Miss消息生成和下發大量臨時ARP表項并向目的網絡發送大量ARP請求報文,這樣就增加了設備CPU的負擔,同時嚴重消耗目的網絡的帶寬資源。
設備收到大量ARP攻擊報文,并需要對所有ARP攻擊報文全部進行處理,可能導致CPU負荷過重而無法處理其他業務。
針對以上攻擊,ARP安全提供如下措施保證網絡設備的安全性:
針對第一種攻擊,可配置ARP防網關沖突,防止攻擊者冒充網關竊聽用戶主機信息。
針對第二種攻擊,可配置ARP Miss消息限速,減小CPU的負擔,保護目的網絡的帶寬資源。
針對第三種攻擊,可配置ARP報文限速,以保護CPU資源。
組網需求
如圖1所示,Switch作為網關通過接口GE1/0/3連接一臺服務器,通過接口GE1/0/1、GE1/0/2連接VLAN10和VLAN20下的四個用戶。網絡中可能存在以下ARP威脅:
攻擊者向Switch發送偽造的網關的ARP報文,使用戶誤以為攻擊者即為網關。這樣用戶就會把發往網關的流量均發送給了攻擊者,攻擊者可輕易竊聽到用戶發送的數據內容。
攻擊者發出大量目的IP地址不可達的IP報文進行ARP泛洪攻擊,造成Switch的CPU負荷過重。
用戶User1構造大量源IP地址變化MAC地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU進程繁忙,影響到正常業務的處理。
用戶User3構造大量源IP地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU進程繁忙,影響到正常業務的處理。
管理員希望能夠防止上述ARP攻擊行為,為用戶提供更安全的網絡環境和更穩定的網絡服務。
圖1 配置ARP安全功能組網圖
配置思路
采用如下思路在Switch上進行配置:
配置ARP防網關沖突,防止攻擊者冒充網管竊聽用戶主機信息。
配置根據源IP地址進行ARP Miss消息限速,實現防止用戶側存在攻擊者發出大量目的IP地址不可達的IP報文觸發大量ARP Miss消息,形成ARP泛洪攻擊。同時需要保證Switch可以正常處理服務器發出的大量此類報文,避免因丟棄服務器發出的大量此類報文而造成網絡無法正常通信。
配置根據源MAC地址進行ARP限速,實現防止User1發送的大量源IP地址變化MAC地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU進程繁忙。
配置根據源IP地址進行ARP限速,實現防止User3發送的大量源IP地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU進程繁忙。
操作步驟
創建VLAN,將接口加入到VLAN中,并配置VLANIF接口
# 創建VLAN10、VLAN20和VLAN30,并將接口GE1/0/1加入VLAN10中,接口GE1/0/2加入VLAN20中,接口GE1/0/3加入VLAN30中。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
[Switch-GigabitEthernet1/0/3] quit
# 創建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.8.8.4 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.9.9.4 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.10.10.3 24
[Switch-Vlanif30] quit
配置ARP防網關沖突
[Switch] arp anti-attack gateway-duplicate enable //配置ARP防網關沖突
配置根據源IP地址進行ARP Miss消息限速
# 配置對Server(IP地址為10.10.10.2)的ARP Miss消息進行限速,允許Switch每秒最多處理該IP地址觸發的40個ARP Miss消息;對于其他用戶,允許Switch每秒最多處理同一個源IP地址觸發的20個ARP Miss消息。
[Switch] arp-miss speed-limit source-ip maximum 20 //配置根據源IP地址進行ARP Miss消息限速
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 //配置根據源IP地址進行ARP Miss消息限速
配置根據源MAC地址進行ARP限速
# 配置對用戶User1(MAC地址為0001-0001-0001)進行ARP報文限速,每秒最多只允許10個該MAC地址的ARP報文通過。
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //配置根據源MAC地址進行ARP限速
配置根據源IP地址進行ARP限速
# 配置對用戶User3(IP地址為10.9.9.2)進行ARP報文限速,每秒最多只允許10個該IP地址的ARP報文通過。
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10 //配置根據源IP地址進行ARP限速
驗證配置結果
# 執行命令display arp anti-attack configuration all,查看當前ARP防攻擊配置情況。
[Switch] display arp anti-attack configuration all
......
ARP anti-attack entry-check mode:
Vlanif Mode
-------------------------------------------------------------------------------
All disabled
-------------------------------------------------------------------------------
ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP speed-limit for source-MAC configuration:
MAC-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001 10
Others 0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 1024.
ARP speed-limit for source-IP configuration:
IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2 10
Others 30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
ARP miss speed-limit for source-IP configuration:
IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32 40
Others 20
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
# 執行命令display arp packet statistics,查看ARP處理的報文統計數據。
[Switch] display arp packet statistics
ARP Pkt Received: sum 8678904
ARP-Miss Msg Received: sum 183
ARP Learnt Count: sum 37
ARP Pkt Discard For Limit: sum 146
ARP Pkt Discard For SpeedLimit: sum 40529
ARP Pkt Discard For Proxy Suppress: sum 0
ARP Pkt Discard For Other: sum 8367601
ARP-Miss Msg Discard For SpeedLimit: sum 20
ARP-Miss Msg Discard For Other: sum 104
由顯示信息可知,Switch上產生了ARP報文和ARP Miss消息丟棄計數,表明ARP安全功能已經生效。
配置文件
# Switch的配置文件
#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 30
#
return