2024年1月12日发(作者:)
D-Link交换机设备
安全性功能配置手册
友讯网络
D-Link
2012年4月
目 录
1、风暴抑制 ................................................................................................................................ 2
1)广播抑制 ........................................................................................................................ 2
2)组播抑制 ........................................................................................................................ 4
3)未知单播抑制................................................................................................................. 5
2、Safe Guide配置 ...................................................................................................................... 8
1)配置需求 ........................................................................................................................ 8
2)配置过程 ........................................................................................................................ 8
3)测试验证 ........................................................................................................................ 9
3、MAC地址绑定配置 .............................................................................................................. 10
1)配置需求 ...................................................................................................................... 10
2)配置思路 ...................................................................................................................... 10
3)验证测试 ...................................................................................................................... 11
4、IP+MAC+PORT绑定 .............................................................................................................. 12
1)组网需求 ...................................................................................................................... 12
2)组网图 .......................................................................................................................... 12
3)配置步骤 ...................................................................................................................... 12
5、DHCP_Snooping .................................................................................................................... 17
1)功能介绍 ...................................................................................................................... 17
2)功能作用 ...................................................................................................................... 17
3)配置范例 ...................................................................................................................... 18
6、端口隔离配置 ...................................................................................................................... 21
1)配置要求 ...................................................................................................................... 21
2)配置实例 ...................................................................................................................... 21
第 1 页 共 26 页
1、风暴抑制
风暴抑制是防止交换机的端口被局域网中的广播、组播或者一个物理端口上的单播风暴所破坏。当流量在局域网中泛洪,建立的过多的流量将占用过多的带宽,并导致网络拥塞。风暴抑制用于对进入的流量进行控制,从上面我们可以看出控制的对象可以是 单播、广播和组播流量。我们通过事先定义一个门限值(threshold),当某种流量超出了门限值,将对该流量进行控制,使其降到门限值一下,一旦流量超出门限值,所有的进入交换机的流量(无论是单播、组播还是广播)都会被丢弃!
风暴抑制在交换机上默认是关闭。
D-link的交换机具有抑制广播、组播、单播三种风暴的能力,下面以DGS-3120-24TC为例,介绍如何对风暴抑制进行设置。
1)广播抑制
1、进入交换机的配置界面。
第 2 页 共 26 页
2、输入以下命令:
config traffic control 1:1-1:10 broadcast enable:在交换机第一个端口至第十个端口开启广播抑制。
threshold 128000 action shutdown :当交换机作用端口接收到超过每秒128000个数据包时,关闭该端口。每秒通过的数据包数值可以自行设置,范围在0—255000之间。
3、查看配置结果:
输入命令:show traffic control
可以看到交换机的1至10端口已经开启了广播风暴抑制。
第 3 页 共 26 页
2)组播抑制
1、登陆交换机配置界面,输入:
config traffic control 1:1-1:10 multicast enable :在交换机第1口至第10口开启组播抑制。
threshold 128000 action shutdown :当交换机作用端口接收到超过每秒128000个数据包时,关闭该端口。每秒通过的数据包数值可以自行设置,范围在0—255000之间。
2、输入show traffic control,查看设置结果:
可以看到交换机的1至10端口已经开启了广播抑制。
第 4 页 共 26 页
3)未知单播抑制
1、在交换机配置界面输入命令:
config traffic control 1:1-1:10 unicast enable :在交换机第1口至第10口开启单播抑制。
threshold 128000 action shutdown :当交换机作用端口接收到超过每秒128000个数据包时,关闭该端口。每秒通过的数据包数值可以自行设置,范围在0—255000。
2、输入show traffic control,查看设置结果:
第 5 页 共 26 页
可以看到交换机的1至10端口已经开启了单播抑制。
4)实验测试
实验拓扑如下:
测试电脑和DES-1005D都在DGS-3120-24TC上,端口分别为1和3。
在测试电脑上ping交换机,能ping通,证明网络正常:
把DES-1005D用网线环接起来,形成环路,这时由于产生大量第 6 页 共 26 页
的广播包,造成DGS-3120-24TC交换机瘫痪,测试电脑也Ping不通该交换机了:
然后在DGS-3120-24TC上设置端口1至10的广播抑制:
查看风暴抑制设置,配置正确。
再把环接的DES-1005D接到DGS-3120-24TC上,掉了一个包后,网络恢复正常。
第 7 页 共 26 页
2、Safe Guide配置
1)配置需求
为了提升交换机运行的可靠性及可用性,分类控制CPU需处理的流量,将瞬间造成大量数据包冲击CPU之影响降低。我们设置交换机
CPU使用率上升到60%的时候,下降50%。
2)配置过程
(1)、配置
config safeguard_engine utilization rising 60 falling 50 state enable
查看防护引擎状态
show safeguard_engine
第 8 页 共 26 页
3)测试验证
通过测试,当CPU上升到60%以上的时候,可以看到交换机CPU使用率下降。
第 9 页 共 26 页
3、MAC地址绑定配置
1)配置需求
(1) 为了控制网络内接入设备,限定交换机9口只允许MAC地址是00-0F-B0-97-E7-C6的设备可以用。如果其他设备需要用9口,需要网络管理人员允可。
2)配置思路
(1) 打开MAC绑定功能
(2) 打开9口MAC绑定功能
(3) 添加用户的MAC地址到本地数据库
enable mac_based_access_control
config mac_based_access_control method local
config mac_based_access_control ports 9 state enable
create mac_based_access_control_local mac 00-0F-B0-97-E7-C6 vlan
default
查看绑定状态
show mac_based_access_control_local vlan default
第 10 页 共 26 页
3)验证测试
(1) 我们用一台设备接在11口,这时候这台设备状态是可用的
show fdb
(2) 如果将这台设备接到9口,状态显示不可用
(3) 我们将这台设备添加到本地数据库,这台设备就可以正常使用。
create mac_based_access_control_local mac F0-7D-68-DC-B4-69 vlan
default
第 11 页 共 26 页
4、IP+MAC+PORT绑定
1)组网需求
DES-3828交换机实现IP+MAC+PORT绑定具有arp模式和ACL模式两种方式。
PC1的IP地址:192.168.1.100 MAC地址:00-06-1B-CE-A6-36
PC2的IP地址:192.168.2.100 MAC地址:00-1D-72-E1-85-10
PC1接1口,PC2接13口.
2)组网图
3)配置步骤
IP+MAC+PORT arp模式配置思路
(1)、创建两个VLAN
(2)、创建两个虚接口
(3)、开启端口的IP+MAC+PORT功能
(4)、以ARP模式绑定IP+MAC+PORT
第 12 页 共 26 页
配置过程
配置完成后查看相关信息:
第 13 页 共 26 页
设置其他其他笔记本IP地址为192.168.1.100,接在第一口上,无法与虚接口通讯
IP+MAC+PORT ACL模式配置思路
(1)、创建两个VLAN
第 14 页 共 26 页
(2)、创建两个虚接口
(3)、开启端口的IP+MAC+PORT功能
(4)、以ACL模式绑定IP+MAC+PORT
配置过程
配置完成后查看相关信息:
第 15 页 共 26 页
设置其他其他笔记本IP地址为192.168.2.100,接在13口上,无法与虚接口通讯
第 16 页 共 26 页
5、DHCP_Snooping
1)功能介绍
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP
Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP
Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
2)功能作用
-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。
2.与交换机的配合,防止ARP病毒的传播。
第 17 页 共 26 页
3)配置范例
范例:
A。在25端口上创建DHCP服务器
B。要设置1-10端口的IP-MAC端口绑定功能的端口
C。启用dhcp_snooping启用端口。
D。允许zero_ip和DHCP Pacekt通过开关
在这种拓扑结构中,PC1的客户从DHCP服务器获取IP,交换机将创建一个IP-MAC条目,当客户的PC2与静态IP连接到端口5,它不能访问其他PC连接软件。即使PC2更改为与PC1相同的IP地址,它不能访问其他局域网资源。
配置步骤:
(1)启用dhcp_snoop功能
enable address_binding dhcp_snoop
第 18 页 共 26 页
(2)将1-10端口设置为IPMAC绑定模式
config address_binding ip_mac ports 1-10 state enable
(3)将1-10端口配置成dhcp_snoop模式
config address_binding allow_dhcp_snoop 1-10 total_entries 1
(4)允许无IP终端的数据通过
config address_binding ip_mac ports 1-10 allow_zeroip enable
(5)允许DHCP数据报文通过
config address_binding ip_mac ports 1-10 forward_dhcppkt enable
配置查看命令
查看允许全端口DHCP_snoop状态
show address_binding allow_dhcp_snoop all
第 19 页 共 26 页
查看端口DHCP_snoop的状态
第 20 页 共 26 页
6、端口隔离配置
1)配置要求
DGS-3120-24TC交换机端口配置端口隔离功能。
1、1-23口不能互相访问,只能能通过24口上联至核心
2、1-8口可以互访、9-14口可以互访、15-20口可以互访、21-23口可以互访,所有端口通过24口上联至核心。
2)配置实例
(1)配置实例1
config traffic_segmentation 1:1-1:23 forward_list 1:24
配置后通过show traffic_segmentation 可以看到1-23口只能与24口通讯
第 21 页 共 26 页
验证测试:
通过show ipfdb可以看到,交换机1口与24口设备IP状态。
这时候2台设备互相可以通讯
通过show ipfdb可以看到,交换机1口与23口设备IP状态。
第 22 页 共 26 页
这时候2台设备互相不可以通讯
(2)配置实例2
config traffic_segmentation 1:1-1:8 forward_list 1:1-1:8,1:24
config traffic_segmentation 1:9-1:16 forward_list 1:9-1:16,24
config traffic_segmentation 1:17-1:23 forward_list 17-23,24
第 23 页 共 26 页
配置后通过show traffic_segmentation 可以看到1-24口转发列表
验证测试:
(1)通过show ipfdb可以看到,交换机1口与24口设备IP状态。
这时候2台设备互相可以通讯
第 24 页 共 26 页
通过show ipfdb可以看到,交换机1口与5口设备IP状态。
这时候2台设备也可以互相可以通讯
(2) 当2台设备接在1口和11口的时候
2台设备通讯断开。
第 25 页 共 26 页
发布评论