S12500交换机网络安全技术白皮书
H3C S12500 网络安全技术白皮书
关键词:网络安全,威胁
摘要:本文主要介绍了网络安全威胁的分类以及H3C S12500系列路由交换机具备的安全能力。
缩略语清单:
目录
1 概述 (4)
2 网络安全威胁 (4)
2.1 网络安全威胁的定义 (4)
2.2 网络安全威胁的分类 (4)
2.3 网络设备的安全威胁 (4)
2.3.1 数据传送层面 (5)
2.3.2 控制信令层面 (5)
2.3.3 设备管理层面 (5)
3 H3C S12500安全能力介绍 (5)
3.1 数据转发层面的安全能力 (5)
3.1.1 URPF技术 (5)
3.1.2 非法报文过滤技术 (7)
3.1.3 ICMP分片报文过滤功能 (8)
3.1.4 TTL超时报文过滤功能 (8)
3.1.5 Hop Limit超时报文过滤功能 (8)
3.1.6 地址扫描攻击防护能力 (9)
3.1.7 广播/组播/未知单播报文速率限制 (9)
3.1.8 MAC地址表容量攻击防护能力 (9)
3.1.9 静态MAC地址表项和ARP表项绑定能力 (10)
3.1.10 强大的ACL功能 (10)
3.2 CPU控制平面的安全能力 (10)
3.2.1 控制平面带宽管理技术 (10)
3.3 控制信令层面的安全能力 (12)
3.3.1 ARP协议攻击检测和防范技术 (12)
3.3.2 IP Source Guard技术 (18)
3.3.3 DHCP服务安全技术 (19)
3.3.4 TCP连接保护和攻击防范技术 (20)
3.3.5 STP协议保护技术 (21)
3.3.6 路由协议攻击防护能力 (23)
3.4 设备管理层面的安全能力 (24)
3.4.1 管理用户分级分权 (24)
3.4.2 支持安全的远程管理 (24)
3.4.3 支持安全审计 (24)
3.4.4 安全接入控制 (24)
3.4.5 SFTP服务 (24)
1 概述
随着互联网技术的不断演进、网络规模的爆炸性发展,互联网应用已经从起初的科
研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴
起,网络成为人类提高生产力、提升生活质量的新的推动力。然而,互联网的技术
基础,即IP网络,却在天然上存在着安全、服务质量、运营模式等方面的隐患。
IP网络的简单和开放在促成互联网迅猛发展的同时,也造成了IP网络容易引入安全
漏洞的弱点。同时,随着技术的发展、信息传递的迅捷,针对IP网络安全攻击的技
术难度越来越小,攻击工具自动化程度则越来越高,攻击技术趋向平民化。网络攻
击事件数量每年都在大幅增加,造成的损失日益巨大,影响范围不再仅限于少数公
司,甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上了阴影。
在这种情况下,网络设备自身的安全特性和防攻击能力显得越来越重要。
2 网络安全威胁
2.1 网络安全威胁的定义
所谓网络安全威胁,包括传输数据安全威胁和网络设备安全威胁。传输数据安全威
胁指通过特定技术,对在网络、服务器和桌面上存储和传输的数据未经授权进行访
问,甚至破坏或者修改这些数据;网络设备安全威胁指针对网络设备进行攻击,影
响网络设备正常运行。
2.2 网络安全威胁的分类
IP网络的安全威胁分为两个方面:
?主机(包括用户主机和应用服务器等)的安全;
?网络自身(主要是网络设备,包括路由器、交换机等)的安全。
用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻
击,诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要
讨论网络自身,即网络设备的安全问题。
2.3 网络设备的安全威胁
网络设备的功能可以分为以下几个层面:网络数据传送、网络控制信令、网络设备
管理。相应地,网络设备的安全威胁即是针对于这几个层面展开的。
2.3.1 数据传送层面
网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的
攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理
时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于网络数据传
送层面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数
据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。
2.3.2 控制信令层面
网络控制信令层面的主要功能是维护各层网络协议的运行,以控制数据流的路由和
交换。这一层面受到的最主要威胁来自对路由信息的窃取,对IP地址的伪造等,这
会造成网络路由信息的泄漏或滥用。
2.3.3 设备管理层面
网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面,一个是系
统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的
管理,如设备管理账号的泄露等。
3 H3C S12500 安全能力介绍
H3C S12500系列高端路由交换机是基于Comware软件平台进行开发的。通过
Comware平台的支持,以及H3C S12500独有的一些安全实现,H3C S12500能够
提供丰富的安全特性。
3.1 数据转发层面的安全能力
3.1.1 URPF 技术
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)检查技术,主要
用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击是指入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP
地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统
的权限,甚至是管理员权限。即使被攻击设备的响应报文不能到达攻击者,同样也
会对被攻击设备造成破坏。
图1 URPF检查示意图
如上图所示,在Device A上伪造源地址为2.2.2.1/8的报文,向Device B发起请求,Device B响应请求时将向真正的“2.2.2.1/8”,即Device C发送报文。这种非法报文对Device B和Device C都会造成攻击。
URPF检查技术可以应用在上述环境中,在Device B上根据报文的源IP地址查找该IP地址的出接口,判断该IP地址的出接口是否和报文的入接口一致,如果不一致则认为URPF检查不通过,并且对这种报文采取相应的处理动作。
S12500产品支持URPF技术,并且能够支持多种检查模式,用户可以根据当前网络安全等级及应用需要采用不同的URPF检查模式。
?严格检查模式
严格检查模式不但需要检查报文的源IP地址是否在路由表中存在,还需要检查报文的入接口是否和源IP地址查找的路由表中的出接口一致,如果有一个出接口和报文入接口一致,则认为检查通过,否则认为检查不通过。
对于缺省路由、主机路由和网段路由,也同样支持严格模式的检查,必须检查路由表和出接口信息;对于等价路由,只需要符合等价路由的任意一条路由,则认为URPF检查成功,报文正常转发。
?基于链路层检查模式
链路层检查模式先根据报文源IP地址查找路由表,获取下一跳地址,并且根据下一跳IP地址查找ARP表项,获取ARP表中的MAC地址,并且用该MAC地址和报文源MAC地址进行比较,如果相等则URPF检查通过,否则URPF检查失败。
基于链路层检查模式,是S12500产品基于高可靠、高安全核心层设备推出的安全特性之一,真正把数据链路层和IP层结合在一起,实现IP转发的链路层检查,相较于以往单纯的IP地址检查,更加科学和安全。
链路层检查模式不支持基于等价路由的检查。
3.1.2 非法报文过滤技术
网络中充斥的各种非法报文,不但占用宝贵的带宽资源,还对网络中的各种设备造
成冲击。
S12500产品能够过滤各种非法报文,既包括内容错误的报文,也包括格式错误的
报文,下面具体描述S12500产品能够识别并且过滤的各种非法报文:
1. 网络接入控制的过滤功能
检测并过滤各种物理层错误的报文,包括CRC错帧、超小帧、超大帧、帧丢失、奇
偶检验错帧等。
2. 数据链路转发的过滤功能
S12500能够过滤如下数据链路层非法的报文:
?端口收到报文的VLAN ID 不在端口允许通过的范围内,直接丢弃;
?非法源MAC 地址的报文(报文源MAC 地址为组播MAC 地址),直接丢弃;
?STP BLOCK 的端口收到数据报文,直接丢弃。
3. IP转发的过滤功能
对于各种IP头和IP地址非法的报文,S12500设备能够检查并且过滤:
?IPv4 头校验和错误的报文,直接丢弃;
?IPv4 头版本号错误的报文,直接丢弃;
?IPv4 头长度错误的报文,直接丢弃;
?IPv4 源IP 地址等于目的IP 地址的报文,直接丢弃;
?IPv4 源IP 地址为127.0.0.0/8 或224.0.0.0/4 的报文,直接丢弃;
?IPv4 目的IP 地址为127.0.0.0/8 或0.0.0.0 的报文,直接丢弃;
?IPv4 报文目的MAC 地址为单播地址,目的IP 地址为组播地址,直接丢弃;
?IPv4 报文目的MAC 地址为组播地址,目的IP 地址为单播地址,直接丢弃;
?IPv4 URPF 检查失败的报文,直接丢弃;
?IPv6 头版本号错误的报文,直接丢弃;
?IPv6 源IP 地址等于目的IP 地址的报文,直接丢弃;
?IPv6 源IP 地址为::1/128 或FF::/8 的报文,直接丢弃;
?IPv6 目的IP 地址为::1/128 或::的报文,直接丢弃;
?IPv6 报文目的MAC 地址为单播地址,目的IP 地址为组播地址,直接丢弃;
?IPv6 报文目的MAC 地址为组播地址,目的IP 地址为单播地址,直接丢弃。3.1.3 ICMP 分片报文过滤功能
一般来说网络中传输的ICMP报文都不大,而且对于不同的系统,能够发送和接收
的ICMP报文的大小也不一样。通常,ICMP分片报文用于测试网络的运行状态,检
测网络转发路径的稳定性。在网络正常运行中,一般不会出现ICMP分片报文,分
片报文大部分是由于网络攻击导致,网络中存在大流量的ICMP分片报文,不但会
占用宝贵的带宽资源,而且会导致被攻击者性能严重下降,甚至无法正常工作。
H3C S12500能够识别并且过滤ICMP分片报文(识别方法:IP头MF字段不为0或者
IP头OFFSET字段不为0的ICMP报文),使能ICMP分片报文过滤功能后,正常转
发和上送CPU的ICMP分片报文都会被直接丢弃。
3.1.4 TTL 超时报文过滤功能
所谓TTL超时报文,是指IP报文中的TTL值为0或者为1,不在IP转发的正常范围内。
当网络存在路由环路时,IP报文在设备间相互转发,每转发一跳则TTL值减一,最
终导致TTL值超时。当网络设备收到TTL超时报文后,需要向源设备发送TTL超时
通知,告知对端TTL超时,TraceRoute就是利用该功能达到路径检测的目的。过多
的TTL超时报文,会冲击网络设备的控制平面,导致网络设备正常业务处理性能的
下降。
H3C S12500产品支持TTL超时报文的检测和过滤功能,当设备收到TTL等于0或者
等于1的IP报文时,直接丢弃,不进行转发或者上送CPU处理。
系统默认丢弃TTL等于0的报文,但是正常转发TTL等于1的报文。对于MPLS的
TTL等于1报文,和IP报文相同处理。
3.1.5 Hop Limit 超时报文过滤功能
Hop Limit超时报文和TTL超时报文类似,只不过TTL超时是IPv4报文,而Hop Limit
超时是IPv6报文。
H3C S12500产品支持Hop Limit超时报文的检测和过滤功能,当设备收到Hop Limit
等于0或者等于1的IP报文时,直接丢弃,不进行转发或者上CPU处理。
系统默认丢弃Hop Limit等于0的报文,但是正常转发Hop Limit等于1的报文。
3.1.6 地址扫描攻击防护能力
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当
攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报
文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击
流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。
H3C S12500实现了地址扫描攻击的防护能力。当S12500交换机收到目的IP是直连
网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对
目的地址下发一条丢弃表项,以防止后续报文持续冲击CPU。如果有ARP应答,
则立即删除相应的丢弃表项,并添加正常的路由表项。否则,经过一段时间后丢弃
表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业
务流程的畅通。
H3C S12500还提供了相应的配置命令,用于控制地址扫描攻击防护功能是否启用。
3.1.7 广播/组播/未知单播报文速率限制
网络中存在大量的广播或者组播报文,会占用宝贵的网络带宽,从而严重影响网络
设备的转发性能。而且当网络中某台设备存在环路时,广播和组播报文会在网络中
泛滥,导致整个网络的瘫痪。
H3C S12500具有强大的广播、组播和未知单播报文过滤功能。既可以按照PPS来
限制端口每秒允许通过的广播、组播和未知单播报文个数,也可以按照流量绝对值
来限制端口允许通过的广播、组播和未知单播报文速率。当广播、组播和未知单播
报文超过用户限制的门限值后,超出部分的报文将会被系统丢弃,确保广播/组播/
未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行。
针对每种类型的报文,S12500分别提供命令进行控制,并且每种类型的报文都能
够按照PPS或者Kbps进行限速。
3.1.8 MAC 地址表容量攻击防护能力
所谓MAC地址表容量攻击,是指攻击源发送源MAC地址不断变化的报文,网络设
备在收到这种报文后,会进行源MAC地址学习。由于MAC地址表容量是有限的,
当MAC地址表项达到最大容量后,正常报文的MAC地址学习将无法完成。在进行
二层转发时,这些报文将会在VLAN内广播,严重影响网络带宽,同时也会对网络
设备下挂主机造成冲击。
H3C S12500提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功
能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允
许学习的MAC地址数目,防止一个端口或者VLAN就把系统的MAC地址表项耗尽。
在设置端口MAC地址最大学习数目时,还可以选择超过部分是否转发,防止未知
单播报文在VLAN内广播,对其他设备造成冲击。
3.1.9 静态MAC 地址表项和ARP 表项绑定能力
H3C S12500提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配
置静态MAC地址表项,保证二层数据报文正确的转发;用户还可以通过配置静态
ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
同时,S12500设备支持黑洞MAC地址功能,配置黑洞MAC地址功能后,源MAC地
址或者目的MAC地址匹配该MAC地址表项的报文将会被过滤,不会在设备中正常
转发。
3.1.10 强大的ACL 功能
在复杂的网络环境中,存在各种各样的攻击报文,可能攻击网络设备,也可能攻击
网络设备下挂的主机。
H3C S12500提供强大而丰富的ACL功能,能够对报文的数据链路层、网络层、传
输层各字段进行识别,在入方向和出方向采取各种处理动作。入方向ACL支持的处
理动作为限速、过滤、统计、重定向、镜像等,出方向ACL支持的处理动作为过滤、
限速、统计等。
通过ACL功能,管理者可以对非法流量进行有效的过滤。管理者可以在端口、
VLAN或者全局模式下设置相应的ACL规则,以满足不同的需要。S12500的ACL
规则,不但可以根据IP协议类型、TCP端口号、UDP端口号、IP地址、MAC地址等
常用字段对报文进行过滤或者限流,还可以根据用户自身的需求指定报文各字段进
行过滤和限流。
3.2 CPU 控制平面的安全能力
3.2.1 控制平面带宽管理技术
控制平面是交换机的神经中枢,在网络运行中,如果控制平面遭受攻击,会造成严
重的后果,轻则影响网络协议的稳定,重则导致设备瘫痪。
H3C S12500产品针对控制平面的管理做了大量有效的工作,对上送CPU的各种报
文进行分类和限流,确保CPU不受攻击报文的影响,具体表现在如下几个方面:
1. 自动识别
H3C S12500产品控制报文上送CPU遵循“按需分配”的原则,系统中某种协议没有启用时,交换机即使收到这种类型的协议报文,也不会送到控制平面(CPU)进行处理,保证控制平面不受垃圾报文的攻击;当某种协议启动后,交换机会根据协议类型及协议报文的特征识别该报文并且送CPU处理,并且根据协议运行的需要确定该协议报文是指定端口上送、指定VLAN上送还是全局上送。
通过这种方式,最大限度的防止网络中的垃圾报文冲击控制平面,对CPU起到保护作用。
2. 有效隔离
S12500产品协议报文上送CPU,会对各种类型的协议报文进行分类,并且对每种类型的协议报文分配相应的编号,通过该编号可以决定报文上送控制平面的速率和报文上送控制平面的队列。
通过编号区分协议报文,并且上送控制平面,保证协议报文之间互相不会受到干扰,每种协议报文都能够按照自身的速率门限(速率门限根据各功能支持的规格计算得出)送往控制平面,而不会由于某种协议遭受攻击导致其他协议受到影响。
3. 硬件限流
如上所述,每种类型的协议报文都分配有一个相应的编号,通过这个编号可以设置协议报文上送CPU的速率(限速单位PPS);同时,每个编号的协议报文都要入相应的队列(总共8个队列),对每个队列也进行相应的限速(限速单位PPS),确保每个队列送往控制平面的协议报文不会超出正常的应用要求;在CPU端口,也会对所有的报文进行端口流量整形,保证CPU不会因为协议报文的冲击而出现异常。
4. 优先级调度
协议报文送CPU时,存在8个队列,队列之间通过SP+WRR调度,确保每个队列的报文都能够得到调度;同时,在控制平面处理协议报文时,也根据一定的方式进行调度,读取上送CPU的协议报文,确保在一个CPU调度周期内能够处理各个队列的报文,同时也能够保证高优先级队列报文优先调度。
1-1-1
1.1.1.1
MAC address
IP address
Dynamic
Type
1-1-1
1.1.1.1(gateway)
MAC address
IP address
Dynamic
Type
2-2-2
1.1.1.1 (gateway)
MAC address
IP address
…
…
3-3-3
2-2-2
Source MAC address
Destination MAC a ddress
3-3-3
1.1.1.5
MAC address
IP address
5-5-5
1.1.1.20
MAC address
IP address
Gateway
Updated
图2 控制平面带宽管理示意图
总之,通过如上的技术保护,H3C S12500产品控制平面的抗攻击能力大为提升,
完全满足高端交换机的稳定性应用需要。
3.3 控制信令层面的安全能力
3.3.1 ARP 协议攻击检测和防范技术
针对ARP协议攻击主要包含两种方式:ARP欺骗攻击和ARP泛洪攻击,而ARP欺
骗攻击又包括仿冒网关、欺骗网关和欺骗终端用户等。
IP address MAC address
1.1.1.11-1-1
Destination MAC address Source MAC address…
2-2-23-3-3…
IP address MAC address Type
1.1.1.1(gateway) 1-1-1Dynamic
Attacker B
IP address MAC address
1.1.1.205-5-5
User A
图3 ARP欺骗之仿冒网关攻击示意图
IP address MAC address
1.1.1.53-3-3
IP address MAC address Type
1.1.1.1 (gateway)2-2-2Dynamic
1-1-1
1.1.1.1
MAC address
IP address
Dynamic
Type
3-3-3
1.1.1.5
MAC address
IP address
Dynamic
Type
2-2-2
1.1.1.5
MAC address
IP address
…
…
1-1-1
2-2-2
Source MAC
Destination MAC
3-3-3
1.1.1.5
MAC address
IP address
5-5-5
1.1.1.20
MAC address
IP address
1-1-1
1.1.1.1
MAC address
IP address
Dynamic
Type
9-9-9
1.1.1.1
MAC address
IP address
Dynamic
Type
2-2-2
1.1.1.1
MAC address
IP address
…
…
3-3-3
2-2-2
Source MAC
Destination MAC
3-3-3
1.1.1.5
MAC address
IP address
5-5-5
1.1.1.20
MAC address
IP address
9-9-9
1.1.1.8
MAC address
IP address
Gateway
Updated
Gateway
User C’s MAC
address has
been updated.
Intercepted data flow
Updated
Attacker B
User A
ARP entry changes to IP address MAC address Type
1.1.1.53-3-3Dynamic
Destination MAC Source MAC…
2-2-21-1-1…
Attacker B User A
图4 ARP欺骗之欺骗网关攻击示意图
IP address MAC address
1.1.1.1 1-1-1
Destination MAC Source MAC …
2-2-23-3-3 …
IP address MAC address
1.1.1.8 9-9-9
图5 ARP欺骗之欺骗终端用户攻击示意图
IP address MAC address Type
1.1.1.52-2-2Dynamic
IP address MAC address
1.1.1.11-1-1
IP address MAC address
1.1.1.20 5-5-5
IP address MAC address Type
1.1.1.1 9-9-9Dynamic
IP address MAC address
1.1.1.5 3-3-3
MAC address Type
2-2-2Dynamic
IP address MAC address
1.1.1.53-3-3
IP address MAC address
1.1.1.205-5-5
1-1-1
1.1.0.1 MAC address IP address
Dynamic 2-2-2 1.1.0.2 Dynamic 2-2-6 1.1.0.6 Dynamic 2-2-3 1.1.0.3 Dynamic 2-2-4 1.1.0.4 Dynamic 2-2-5 1.1.0.5 Dynamic
……. …… Type MAC address
IP address 3-3-3
1.1.1.103
MAC address
IP address
5-5-5 1.1.1.20 MAC address IP address Gateway
ARP table is full
MAC addresses
of User A, A1, A2, A3…have been updated. User A
Attacker B
图6 ARP 欺骗之ARP 泛洪攻击示意图
下面介绍ARP 攻击相关的一些功能,通过这些功能,S12500产品能够最大限度的防止ARP 协议报文攻击,保护下挂网络不受ARP 报文攻击影响。
1. ARP 协议攻击防护能力
ARP 协议没有任何验证方式,而ARP 在数据转发中又是至关重要的,攻击者常伪造ARP 报文进行攻击。
H3C S12500能够检测并且防范ARP 报文的攻击。当攻击者采用某个或者某几个固定的攻击源,向设备发送大量的ARP 报文进行攻击时,S12500能够检测并且防范这种ARP 协议报文的攻击。
当S12500收到ARP 报文时,会根据报文源MAC 地址进行HASH 计算,并且记录单位时间收到的ARP 报文数目。当S12500检测到某些固定源MAC 地址的ARP 报文发送的速率超过预定速率,则认为该源MAC 地址的主机在进行ARP 攻击。如果用户启用ARP 防攻击功能,则会打印提示信息并记录到日志信息中,并下发一条表项过滤此源MAC 地址的报文,对该攻击源进行屏蔽。
IP address MAC address 1.1.1.20 5-5-5 IP address MAC address 1.1.1.103 3-3-3 Updated
IP address MAC address Type 1.1.0.2 2-2-2 Dynamic 1.1.0.3 2-2-3 Dynamic 1.1.0.4 2-2-4 Dynamic 1.1.0.5 2-2-5 Dynamic 1.1.0.6 2-2-6 Dynamic ……
……. Dynamic
IP address MAC address 1.1.0.1 1-1-1
2. 地址冲突检测和保护
所谓地址冲突,是指网络设备下挂的主机或者对接的其他网络设备的IP地址和该网络设备的接口IP地址冲突,网络设备如果无法检测到地址冲突,该网络设备下挂的其他主机的网关ARP表项有可能会被更新,导致下挂主机无法正常上网。
H3C S12500支持地址冲突检测功能。当S12500收到ARP报文时,会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同,则S12500会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备,该地址已经被占用;免费ARP广播报文,是通知本网段内其他主机和网络设备,纠正本网段内其他主机或者网络设备的ARP表项,防止ARP表项指向错误的MAC地址。同时,S12500会上报地址冲突的告警信息并同时记录日志,以便维护人员能够及时了解设备遭受的攻击。
3. ARP端口限速
当交换机中下挂的某个端口异常、存在大量ARP报文攻击时,有可能导致整个网络
的ARP学习异常,从而导致整个网络下挂用户出现异常。
H3C S12500产品支持ARP报文端口限速功能,能够针对每个物理端口配置ARP报
文限速速率。
4. ARP源MAC地址一致性检查
ARP报文中的源MAC地址信息包括以太网源地址和发送端以太网地址,这两个地址都表示请求发起者的MAC地址,网络设备和主机根据发送端以太网地址学习ARP表项。在正常情况下,这两个MAC地址是一致的。而在攻击源构造的地址扫描攻击报文中,由于以太网源地址是网卡驱动程序产生的,比较难以构造,通常攻击报文(病毒报文)的以太网源地址都是固定的,而发送端以太网地址是变化的,网络中经常存在该类型的ARP报文攻击。
H3C S12500产品能够自动检测ARP报文中的以太网源MAC地址和发送端以太网地址,对于经过交换机的ARP 报文(包括正常转发或者上送CPU 处理的ARP 报文),如果检测到报文中的以太网源MAC地址和发送端以太网MAC地址不一致,则直接丢弃。
S12500产品支持命令行控制是否启用ARP源MAC地址一致性检查功能,默认系统
不启用该功能。
在某些特殊应用场合,发送的ARP 报文中的以太网源MAC 地址和发送端以太网
地址会不一致,此时需要关闭源MAC 地址一致性检查功能。
5. ARP源抑制功能
如果网络中有主机通过向设备发送大量目的IP不能解析的IP报文来攻击设备,则会
造成下面的危害:
?设备向目的网段发送大量ARP 请求报文,加重目的网段的负载。
?设备会不断解析目标IP 地址,增加CPU 的负担。
为避免这种攻击所带来的危害,S12500设备提供ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文(当每5秒内的ARP请求报文的流量超过设置的阈值),对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
6. ARP主动确认机制
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。H3C S12500产品支持ARP主动确认功能,在使能本功能之后,当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项。否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改。
7. ARP Detection功能
当设备作为二层接入设备时,正常情况下,用户发送的广播ARP请求将在VLAN内广播,ARP应答将进行二层转发。如果用户仿冒其他用户的IP地址,将会改写网关或者其他用户的ARP表项,导致被仿冒用户的报文错误的发送到发起攻击用户的主机上。
用户可以通过配置ARP Detection功能解决上述问题:对于合法用户的ARP报文进
行正常转发,否则丢弃。
ARP Detection包含两个功能:用户合法性检查功能和ARP报文有效性检查功能。?用户合法性检查
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于DHCP Snooping安全表项的检查、基于802.1x安全表项的检查和基于静态IP和MAC绑定表项的检查。用户可以任意选择使能哪些功能,各功能可以共存。如果使能多种功能,则设备先进行DHCP Snooping安全表项检查,然后进行802.1x检查,最后进行IP和MAC静态绑定表项检查。
?基于DHCP Snooping 安全表项的检查
主要针对仿冒用户的攻击。对于ARP非信任端口,打开DHCP Snooping安全表项检查模式且所属VLAN使能了ARP Detection功能,则从该端口上送的ARP报文需进行DHCP Snooping安全表项检查。如果查找到对应的表项,并且均与表项记录一致(IP地址,MAC地址,端口索引,VLAN ID等),则检查通过;如果参数不一致或者没有查找到对应的表项,则认为是攻击报文,检查不通过。对于信任端口,不进行DHCP Snooping安全表项检查。对于没有使能ARP Detection的VLAN,即使在ARP非信任端口上,也不进行DHCP Snooping安全表项检查。
?基于802.1x 安全表项的检查
主要针对仿冒用户的攻击。对于ARP非信任端口,打开802.1x安全表项检查模式且所属VLAN使能了ARP Detection功能,从该端口上送的ARP报文需进行802.1x安全表项检查。对于源IP地址+源MAC地址+端口索引+VLAN ID都一致或源IP地址不存在但源MAC地址为OUI MAC地址的情况,认为是合法报文检查通过;否则认为是攻击报文进行丢弃处理。
?基于静态IP 和MAC 绑定表项的检查
主要针对仿冒网关的攻击。不论对于ARP非信任端口,还是信任端口,只要打开静态IP和MAC绑定表项检查模式且所属VLAN使能了ARP Detection功能后,从该端口上送的ARP报文需进行基于静态IP和MAC绑定表项检查。对于源IP存在绑定关系但是MAC地址不符的ARP报文,设备认为是非法报文进行丢弃处理;对于源IP 不存在绑定关系和源IP存在绑定关系且MAC地址相符的ARP报文,设备认为是合法报文,检查通过。
?ARP 报文有效性检查
对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,需要根据配置
对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的
MAC地址或IP地址检查模式。
?对于源MAC 地址的检查模式,会检查ARP 报文中的源MAC 地址和以太网报文头中的源MAC 地址是否一致,一致认为有效,否则丢弃;
?对于目的MAC 地址的检查模式(只针对ARP 应答报文),会检查ARP 应答报文中的目的MAC 地址是否为全0 或者全1,是否和以太网报文头中的目
的MAC 地址一致。全0、全1 和不一致的报文都是无效的,无效的报文需要
被丢弃;
?对于IP 地址检查模式,会检查ARP 报文中的源IP 和目的IP 地址,全0、全
1 或者组播IP 地址都是不合法的,需要丢弃。对于ARP 应答报文,源IP 和
目的IP 地址都进行检查;对于ARP 请求报文,只检查源IP 地址。
3.3.2 IP Source Guard技术
根据对校园网和企业网的调查显示,当前网络安全面临的一个主要问题是ARP地址
攻击问题,主要表现为仿冒网关攻击、仿冒其他用户攻击和ARP泛洪,其中针对网
关和其他用户的地址欺骗攻击尤为明显和难以防范。
H3C S12500支持IP Source Guard功能,可以对端口转发的报文进行过滤控制,
防止非法报文通过端口,提高端口的安全性。端口接收到报文后查找IP Source
Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转
发该报文,否则做丢弃处理。
IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址和VLAN标签。并
且,可支持端口与如下特征项的组合(下文简称绑定表项):
?IP、MAC、IP+MAC
?IP+VLAN、MAC+VLAN、IP+MAC+VLAN
IP Source Guard支持两种触发绑定的机制:一种是通过手工配置方式提供绑定表
项,称为静态绑定;另外一种由DHCP Snooping或者DHCP Relay提供绑定表项,
称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,
其他端口不受该绑定影响。如下图所示,IP Source Guard和DHCP Snooping联动,
在接入设备实现IP+MAC+PORT的绑定,防止接入用户进行ARP地址欺骗和地址
扫描等攻击。
Gateway
图7 IP Source Guard 在接入设备使用示意图
3.3.3 DHCP 服务安全技术
1. 地址盗用防护能力
所谓地址盗用,是指一个非法用户仿冒合法用户的IP 地址,盗用合法用户的IP 地址进行上网。网络设备会学习到错误的ARP 表项,影响合法用户的正常上网。 H3C S12500具有防范非法用户盗用地址上网的能力。用S12500做DHCP Relay 设备,当客户端申请合法的IP 地址时, S12500 会学习其IP 地址和MAC 地址,即DHCP Security 表项;通过静态配置也可以添加DHCP Security 表项。在S12500上开启Address Check 功能,当交换机学习客户端ARP 表项时,会去检查其IP 和MAC 地址对应关系是否合法。对于非法用户,交换机拒绝学习其ARP 表项,从而不转发该客户端报文,使该客户端无法访问网络。
2. DHCP-Snooping Option 82
在传统的DHCP 动态分配IP 地址的方式中,同一VLAN 的用户所拥有的权限是完全相同的,网络管理者不能对同一VLAN 中特定的用户进行有效的控制。普通的DHCP 中继代理(不支持Option82的)也不能够区分不同的客户端,从而无法结合DHCP 动态分配IP 地址的应用来控制客户端对网络资源的访问,给网络的安全控制提出了严峻的挑战。
S12500的DHCP Snooping Option82功能使上述问题得到了有效的解决。客户端经过S12500 中继到DHCP 服务器获得IP 时, Option82 功能可以在DHCP 报文的Option82域中添加特定信息(Circuit ID 和Remote ID ),这样就能够让服务器识别该客户端是在哪个DHCP 中继设备之下的。据此就可以给不同DHCP 中继设备下的
第三层交换机技术白皮书
第三层交换机技术白皮书 字体: 小 中 大 | 上 一篇 | 下一篇 发布: 03-27 21:13 作者: 网络转载 来 源: 网络转载 1.1 共享技术 所谓共享技术即在一个逻辑网络上的每一个工作站都处于一个相同的网段上。 以太网采用CSMA/CD 机制,这种冲突检测方法保 证了只能有一个站点在总线上传输。如果有两个站点试图同时访问总线并传输数据,这就意味着“冲突”发生了,两站点都将被告知出错。然后它们都被拒发,并等待一段时间以备重发。 这种机制就如同许多汽车抢过一座窄桥,当两辆车同时试图上桥时,就发生了“冲突”,两辆车都必须退出,然后再重新开始抢行。当汽车较多时,这种无序的争抢会极大地降低效率,造成交通拥堵。 网络也是一样,当网络上的用户量较少时,网络上的交通流量较轻,冲突也就较少发生,在这种情况下冲突检测法效果较好。当网络上的交通流量增大时,冲突也增多,同进网络的吞吐量也将显著下降。在交通流量很大时,工作站可能会被一而再再而三地拒发。 1.2 交换技术 局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的,它可以使每个用户尽可能地分享到最大带宽。交换技术是在OSI 七层网络模型中的第二层,即数据链路层进行操作的,因此交换机对数据包的转发是建立在MAC (Media Access Control )地址--物理地址基础之上的,对于IP 网络协议来说,它是透明的,即交换机在转发数据包时,不知道也无须知道信源机和信宿机的IP 地址,只需知其物理地址即MAC 地址。交换机在操作过程当中会不断的收集资料去建立它本身的一个地址表,这个表相当简单,它说明了某个MAC 地址是在哪个端口上被发现的,所以当交换机收到一个TCP /IP 封包时,它便会看一下该数据包的目的MAC 地址,核对一下自己的地址表以确认应该从哪个端口把数据包发出去。由于这个过程比较简单,加上这功能由一崭新硬件进行 --ASIC(Application Specific Integrated Circuit),因此速度相当快,一般只需几十微秒,交 手机挂QQ ,快速升太阳 开通QQ 黄钻,享受更多特权 QQ 千里眼:联络永不断线 密招:用QQ 发手机短信
数据中心交换机buffer需求分析白皮书
数据中心交换机 buffer 需求分析白皮书
目录 1引言 (3) 1.1DC 的网络性能要求 (3) 1.2国内OTT 厂商对设备Buffer 的困惑 (4) 1.3白皮书的目标 (4) 2Buffer 需求的经典理论 (5) 2.11BDP 理论 (5) 2.2Nick Mckeown 理论 (6) 2.3经典理论的适用性 (6) 3基于尾丢弃的buffer 需求 (9) 3.1丢包的影响 (9) 3.1.2丢包对带宽利用率的影响 (9) 3.1.3丢包对FCT 的影响 (12) 3.2大buffer 的作用 (13) 3.2.1吸收突发,减少丢包,保护吞吐 (13) 3.2.2带宽分配均匀 (14) 3.2.3优化FCT (15) 3.3DC 内哪需要大buffer (15) 3.4需要多大buffer (17) 3.5带宽升级后,buffer 需求的变化 (19) 3.6 小结 (19) 4基于ECN 的buffer 需求 (21) 4.1ECN 的作用 (21) 4.2ECN 水线设置 (23) 4.3基于ECN 的buffer 需要多大 (24) 5基于大小流区分调度的buffer 需求 (27) 5.1大小流差异化调度 (27) 5.2大小流差异化调度如何实现大buffer 相当甚至更优的性能 (27) 5.3基于大小流差异化调度的buffer 需要多大 (28) 6 总结 (28) 7 缩略语 (29)
1 引言 1.1DC 的网络性能要求 近几年,大数据、云计算、社交网络、物联网等应用和服务高速发展,DC 已经成为承 载这些服务的重要基础设施。 随着信息化水平的提高,移动互联网产业快速发展,尤其是视频、网络直播、游戏等行业的爆 发式增长,用户对访问体验提出了更高的要求;云计算技术的广泛应用带动数据存储规模、 计算能力以及网络流量的大幅增加;此外,物联网、智慧城市以及人工智能的发展也都对DC 提出了更多的诉求。 为了满足不断增长的网络需求,DC 内的网络性能要求主要体现在: ?低时延。随着深度学习、分布式计算等技术的兴起和发展,人工智能、高性能计算等时延敏感型业务增长迅速。计算机硬件的快速发展,使得这些应用的瓶颈已经逐渐由计 算能力转移到网络,低时延已经成为影响集群计算性能的关键指标。因此,时延敏感型 应用对DC 网络时延提出了更高的要求。目前DC 内,端到端5-10 微秒时延已经成为 主流的目标要求。 ?高带宽高吞吐。数据时代的到来,产生了海量的数据,如图1-1。基于数据的应用(如图像识别)的推广,使得网络数据呈爆发式增长,小带宽已经无法满足应用对传输 速率的需求。部分应用场景下,带宽成为制约用户体验的瓶颈。高带宽高吞吐对于提升大 数据量传输的应用性能有着至关重要的影响。为了应对大数据量传输的 应用需求,目前,百度、腾讯、阿里巴巴等互联网企业的DC 都已经全面部署100GE 网络,阿里巴巴更是规划2020 年部署400GE 网络。 图1-1 数据中心内存储的实际数据 数据来源:中国IDC 圈
智简园区交换机1588技术白皮书
华为智简园区交换机 1588v2 技术白皮书
摘要 1588v2 时钟是一种采用IEEE 1588V2 协议的高精度时钟,可以实现纳秒级精度的时间同步,精度与当前的GPS 实现方案类似,但是在成本、维护、安全等方面有一定的优势,成为业界最热门的时间传递协议。
目录 摘要 (i) 1概述 (3) 1.1技术背景 (3) 1.2技术优势 (5) 2技术原理 (6) 2.1同步概念 (6) 2.1.1频率同步 (6) 2.1.2相位同步 (7) 2.1.3时间同步 (7) 2.2 1588v2 的设备模型 (8) 2.3 1588v2 报文 (10) 2.3.1 1588v2 报文类型 (10) 2.3.2 1588v2 报文封装 (11) 2.4 1588v2 同步原理 (11) 2.4.1 1588v2 频率同步 (11) 2.4.2 1588v2 时间同步 (12) 2.5 1588v2 时戳产生 (15) 2.6建立主从关系 (16) 2.6.1BMC 算法原理 (16) 2.6.2主从建立过程 (17) 2.7园区交换机能力 (17) 3典型组网应用 (19) 3.11588v2 频率+时间同步(BC 模式) (20) 3.21588v2 频率+时间同步(TC 模式) (21) 3.3SyncE 频率同步+1588v2 时间同步(BC 模式) (22) A 缩略语 (23)
1 概述 1.1技术背景 为了满足无线接入网络用户正常接入的需要,不同基站之间的频率必须同步在一定精度之 内,否则手机在进行基站切换时容易掉线,严重时会导致手机无法使用。而某些无线制式, 除了频率同步,还需要求时间同步。表1-1 为一些常见的不同制式的无线系统对频率同 步和时间同步的要求: 表1-1 不同制式基站对频率/时间同步的要求 总的来看,以WCDMA/LTE FDD 为代表的标准采用的是FDD 制式,只需要频率同步,精 度要求0.05ppm。而以TD-SCDMA/LTE TDD 代表的TDD 制式,同时需要频率同步和时 间同步。 传统的无线网络系统通常采用每基站安装GPS,利用GPS 系统来解决频率同步和时间 同步的需求,如图1-1 为GPS 同步方案示意图。
计算机网络教程(谢希仁)第10章 计算机网络的安全
计算机网络教程(谢希仁)第10章计算机网络的安全
第 2 页 共 13 页 第10章 计算机网络的安全 本章目录 第10章 计算机网络的安全 (2) 10.1 网络安全问题概述 (2) 10.1.1 计算机网络面临的安全性威胁 (2) 10.1.2 计算机网络安全的内容 (3) 10.1.3 一般的数据加密模型 (4) 10.2 常规密钥密码体制 (5) 10.2.1 替代密码与置换密码 (5) 10.2.2 数据加密标准DES (6) 10.3 公开密钥密码体制 (8) 10.3.1 公开密钥密码体制的特点 (8) 10.3.2 RSA 公开密钥密码体制 (9) 10.3.3 数字签名 (9) 10.4 报文鉴别 (10) 10.5 密钥分配 (11) 10.6 链路加密与端到端加密 (12) 10.6.1 链路加密 (12) 10.6.2 端到端加密 (12) 10.7 防火墙 (12) 10.1 网络安全问题概述 10.1.1 计算机网络面临的安全性威胁 1. 计算机网络上的通信面临以下的4种威胁。 1) 截获(interception) 攻击者从网络上窃听他人的通信内容。 2) 中断(interruption) 攻击者有意中断他人在网络上的通信。 3) 篡改(modification) 攻击者故意篡改网络上传送的报文。 4) 伪造(fabrication) 攻击者伪造信息在网络上传送。 2. 上述四种威胁可划分为两大类,即被动攻击和主动攻击(如图10-1所示)。在上 述情况中,截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。 1) 在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU (这里使用 图10-1 对网络的被动攻击和主动攻击
MOXA交换机使用说明
MOXA交换机使用说明 1、IP地址的设置 通过IE工具来Ping 交换机默认的IP(出厂默认)地址,进入交换机配置界面后,直接点击确认后,进入交换机设置界面对话框,IP地址设置请选择\Main Meun\Basic Settings\Network,出现下列对话框 在此对话框下,设置人员在Switch IP Address 和 Switch Subnet Mask 旁的空白处填写预定的IP地址(如:),以及相应的子网掩码地址(如:);其他的如Auto IP Configuration 设置为Disable方式,不要选择HDCP方式。 2、主站(Master)设置 完成了IP方式的设置后,就需要对交换的通讯协议和交换机进行相应的设置,选择\Main Menu\Communication Redundancy(通讯冗余设置),进入对话框: 在此对话框内,我们需要注意的是Settings标记下方的设置参量,而Current Status 为相应的设置参量后交换机系统检测后的状态指示。
Redundancy Protocol (通讯协议设置):设置选择为Turbo Ring ,而非是IEEE802协议(快速生成树)方式; 采用Turbo Ring方式的情况下,需要在网络交换机组中设置一个Master(主站),选择主站的方式是将Set as Master前的小方框内给予选中, 只需要选择确定后,点击Activate按钮即可生效。(注意:在多个交换机组成网中只能有1个设置为Master,不可以多选;同时如果不对交换机进行Master设置,系统会自动设置交换机组中的1台为Master)。 Enable Ring Coupling (环间耦合端口定义)在实际的项目运用中不常运用到,在此不给予更多的描述。需要提醒的是工程人员在设置过程中不要将Enable Ring Coupling 前的小方格选中,同时要注意的是对应的Coupling Port和 Coupling Control Port后的端口与前面的Redundant Ports 1st Port和 2nd Port(冗余连接端口定义)设置的端口重复。 3、网络设置参数验证 完成网络参数设置后,对应的Communication Redundancy对话框内都通过Current Status状态给予体现了,包括了网络协议状态、主(Master)/从(Slave)方式;冗余端口的数据监测状态以及环间耦合状态信息。 在多台交换机组环的情况下,工程人员要注意Redundant Ports 1st Port和 2nd Port (冗余端口状态监测状态)的信息: (1)、Forwarding:(推进状态)
360网络安全系统准入系统技术白皮书-V1.3
360网络安全准入系统 技术白皮书 奇虎360科技有限公司 二O一四年十一月
360网络安全准入系统技术白皮书更新历史 编写人日期版本号备注刘光辉2014/11/11 1.2 补充802.1x 目录
第一章前言 (5) 第二章产品概述 (5) 2.1产品构成 (5) 2.2设计依据 (5) 第三章功能简介 (6) 3.1 网络准入 (6) 3.2认证管理 (6) 3.2.1保护服务器管理 (6) 3.2.2 例外终端管理 (6) 3.2.3重定向设置 (6) 3.2.3 认证服务器配置 (6) 3.2.4 入网流程管理 (7) 3.2.5 访问控制列表 (7) 3.2.6 ARP准入 (7) 3.2.7 802.1x (7) 3.2.8 设备管理 (7) 3.3用户管理 (8) 3.3.1认证用户管理 (8) 3.3.2注册用户管理 (8) 3.3.3在线用户管理 (8) 3.3.4用户终端扫描 (8) 新3.4 策略管理 (8) 3.4.1 策略配置 (8) 3.5系统管理 (8) 3.5.1系统配置 (8) 3.5.2接口管理 (9) 3.5.3 路由管理 (9) 3.5.4 服务管理 (9) 3.5.5 软件升级 (9) 3.5.6 天擎联动 (9)
3.6系统日志 (9) 3.6.1违规访问 (9) 3.6.2心跳日志 (10) 3.6.3 认证日志 (10) 3.6.4 802.1x认证日志 (10) 第四章产品优势与特点 (10) 第五章产品性能指标 (10) 5.1测试简介 (10) 5.2被测设备硬件配置 (10) 5.3 360NAC抓包性能指标 (11) 第六章产品应用部署 (11) 6.1 360NAC解决方案 (11) 6.1.1部署拓扑 (11) 6.2.基本原理 (13) 6.2.1 360NAC工作流程图 (13) 6.2.2 360NAC工作流程图详述 (14) 6.2.2.1 360NAC流程一部署 (14) 6.2.2.2 360NAC流程二部署 (14) 6.2.2.3 360NAC流程三部署 (14)
华为-VLAN技术白皮书
VLAN技术白皮书 华为技术有限公司 北京市上地信息产业基地信息中路3号华为大厦 100085 二OO三年三月
摘要 本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展,其中包括基于端口的VLAN划分、PVLAN,动态VLAN注册协议,如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展,并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性,并结合每个主题,简要的介绍了系列VLAN技术在实际组网中的应用方式。 关键词 VLAN,PVLAN, GVRP,VTP
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN在交换机上的实现方法,可以大致划分为4类: 1、基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。 3、基于网络层划分VLAN
H3C交换机操作手册
目录 H3C以太网交换机的基本操作 (2) 1.1 知识准备 (2) 1.2 操作目的 (2) 1.3 网络拓扑 (2) 1.4 配置步骤 (2) 1.4.1 串口操作配置 (2) 1.4.2 查看配置及日志操作 (5) 1.4.3 设置密码操作 (5) 1.5 验证方法 (6) H3C以太网交换机VLAN配置 (6) 1.6 知识准备 (6) 1.7 操作目的 (6) 1.8 操作内容 (6) 1.9 设备准备 (6) 1.10 拓扑 (6) 1.11 配置步骤 (7) 1.12 验证方法 (7) H3C以太网交换机链路聚合配置 (7) 1.13 知识准备 (7) 1.14 操作目的 (7) 1.15 操作内容 (7) 1.16 设备准备 (7) 1.17 网络拓扑 (7) 1.18 配置步骤 (8) 1.19 验证方法 (9) H3C以太网交换机STP配置 (9) 1.20 知识准备 (9) 1.21 操作目的 (9) 1.22 操作内容 (9) 1.23 设备准备 (9) 1.24 网络拓扑 (10) 1.25 配置步骤 (10) 1.26 验证方法 (11)
H3C以太网交换机VRRP配置 (11) 1.27 知识准备 (11) 1.28 操作目的 (11) 1.29 操作内容 (11) 1.30 设备准备 (11) 1.31 网络拓扑 (12) 1.32 配置步骤 (12) 1.33 验证方法 (14) H3C以太网交换机镜像配置 (14) 1.34 知识准备 (14) 1.35 操作目的 (14) 1.36 操作内容 (14) 1.37 设备准备 (14) 1.38 网络拓扑 (14) 1.39 配置步骤 (15) 1.40 验证方法 (15) H3C以太网交换机路由配置 (16) 1.41 知识准备 (16) 1.42 操作目的 (16) 1.43 操作内容 (16) 1.44 设备准备 (16) 1.45 网络拓扑 (16) 1.46 配置步骤 (16) 1.47 验证方法 (17) H3C以太网交换机ACL配置 (17) 1.48 知识准备 (17) 1.49 操作目的 (18) 1.50 操作内容 (18) 1.51 网路拓扑 (18) 1.52 配置步骤 (18) 1.53 验证方法 (18) 实验一H3C以太网交换机的基本操作备注:H3C以太网交换机采用统一软件平台VRP,交换机命令完全相同。
FusionSphere虚拟化套件分布式虚拟交换机技术白皮书
华为FusionSphere 6.5.0 虚拟化套件分布式虚拟交换机技术白皮书
目录 1 分布式虚拟交换机概述 (1) 1.1 产生背景 (1) 1.2 虚拟交换现状 (2) 1.2.1 基于服务器CPU实现虚拟交换 (2) 1.2.2 物理网卡实现虚拟交换 (2) 1.2.3 交换机实现虚拟交换 (3) 2 华为方案简介 (5) 2.1 方案是什么 (5) 2.2 方案架构 (7) 2.3 方案特点 (7) 3 虚拟交换管理 (8) 3.1 主机 (8) 3.2 分布式虚拟交换机 (8) 3.3 端口组 (8) 4 虚拟交换特性 (9) 4.1 物理端口/聚合 (9) 4.2 虚拟交换 (9) 4.2.1 普通交换 (9) 4.2.2 SR-IOV直通 (10) 4.2.3 用户态交换 (10) 4.3 流量整形 (11) 4.3.1 基于端口组的流量整形 (11) 4.4 安全 (11) 4.4.1 二层网络安全策略 (11) 4.4.2 广播报文抑制 (12) 4.4.3 安全组 (12) 4.5 Trunk端口 (12) 4.6 端口管理 (13) 4.7 存储面三层互通 (13) 4.8 配置管理VLAN (13)
4.9 业务管理平面 (13) 5 虚拟交换应用场景 (14) 5.1 集中虚拟网络管理 (14) 5.2 虚拟网络流量统计功能 (14) 5.3 分布式虚拟端口组 (14) 5.4 分布式虚拟上行链路 (14) 5.5 网络隔离 (14) 5.6 网络迁移 (15) 5.7网络安全 (15) 5.8 配置管理VLAN (15) 5.9 业务管理平面 (15) 6 缩略语 (16)
现代网络安全技术-第10章
本文由heyan12121贡献 ppt1。 第10章 安全网络系统的构建 章 china_54@tom.com 第10章 安全网络系统的构建 章 1 2 3 4 5 信息系统安全概述 中国网络安全现状 网络攻击行为技术特点分析及应对 网络安全防御系统实现策略 企业网络安全系统整体方案设计 china_54@tom.com 本章学习目标 理解信息系统安全概念 理解中国网络安全现状 分析网络攻击行为技术特点及应对 了解网络安全防御系统实现策略 了解企业网络安全系统整体方案设计 china_54@tom.com 第10章 安全网络系统的构建 章 10.1 信息系统安全概述 信息安全是确保重要信息系统数据安全和业务连续性,以确保社会经济的 稳定。因此,如何建立一个安全高效的现代信息系统已成为一个日益突出 的问题。所谓“信息安全”是指在客观上确保信息属性的安全性,使信息 所有者在主观上对他们获得的信息的真实性放心。 信息安全有三种基本属性: (1)完整性(integrity) (2)可用性(avaliability) (3)保密性(confidentiality) china_54@tom.com 第10章 安全网络系统的构建 章 10.2 中国网络安全现状 信息系统处于攻击之下己经几十年了,但安全问题在过去并没有被大多数 人所重视,而在今天却受到越来越多的人的关注。回顾中国的网络安全产 品,我们会发现: 1.需求日益增加,市场潜力巨大 2.国内厂商日益成熟,竞争日趋激烈 3.专业安全服务已经逐渐引起重视 4.网络安全整体方案需求更趋实用 5.国家重大工程成为网络安全市场巨大的推动力 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.1 拒绝服务DoS 淹没 Smurfing拒绝服务攻击 分片攻击 带外数据包攻击 分布式拒绝服务攻击DDoS china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.2 恶意软件 逻辑炸弹 后门 蠕虫 病毒 特洛伊木马 恶意软件攻击方法小结: 第一,制定一个保护计算机防止被病毒等恶意软件威胁的计划。 第二,安装有效的反病毒等工具。 第三,教育用户预防和识别病毒等恶意软件的技术。 第四,及时更新清除恶意软件的工具。 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.3 利用脆弱性 访问权限 蛮力攻击 缓冲区溢出 信息流泄露 利用脆弱性小结 10.3.4 操纵IP包 化整为零 盲IP欺骗 序列号预测 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.5 内部攻击 所谓的“from the inside”有两方面的含义:一方面指内部
H3C交换机操作手册
目录 H3C以太网交换机的基本操作........................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 串口操作配置................................................. 错误!未定义书签。 查看配置及日志操作........................................... 错误!未定义书签。 设置密码操作................................................. 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机VLAN配置............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 拓扑............................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机链路聚合配置......................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机STP配置.............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。
Extreme_交换机操作手册
硬件检测.................................... 错误!未定义书签。 设备外观................................ 错误!未定义书签。 设备状态灯.......................... 错误!未定义书签。 检测指令................................ 错误!未定义书签。 软件检测.................................... 错误!未定义书签。 查看ARP解析............................ 错误!未定义书签。 查看IP 转发数据库表....................... 错误!未定义书签。 显示VLAN配置........................... 错误!未定义书签。 配置检测................................ 错误!未定义书签。 端口检测.................................... 错误!未定义书签。 端口利用率检测.......................... 错误!未定义书签。 显示端口配置状态........................ 错误!未定义书签。 查看端口收的错误........................ 错误!未定义书签。 查看端口状态.......................... 错误!未定义书签。 查看端口发错误........................ 错误!未定义书签。 路由检测..................................... 错误!未定义书签。 查看当前路由表项........................ 错误!未定义书签。 查看OSPF协议状态....................... 错误!未定义书签。 查看RIP协议状态........................ 错误!未定义书签。 查看BGP协议状态........................ 错误!未定义书签。 日志的检测.................................. 错误!未定义书签。 显示LOG内容............................ 错误!未定义书签。 查看LOG内容的成分...................... 错误!未定义书签。 查看LOG的配置.......................... 错误!未定义书签。 2 数据配置........................................ 错误!未定义书签。 IP路由配置................................. 错误!未定义书签。 静态路由................................ 错误!未定义书签。 OSPF路由............................... 错误!未定义书签。 BGP路由................................ 错误!未定义书签。 安全的配置.................................. 错误!未定义书签。 防DOS配置.............................. 错误!未定义书签。 病毒ACL ................................ 错误!未定义书签。 安全访问设置............................ 错误!未定义书签。 EPI_center SNMP设置.................... 错误!未定义书签。 Qos......................................... 错误!未定义书签。 端口配置命令................................ 错误!未定义书签。 配置端口速度............................ 错误!未定义书签。 配置端口状态............................ 错误!未定义书签。 VLAN的配置................................. 错误!未定义书签。 创建VLAN ............................... 错误!未定义书签。 增加或删除VLAN的端口................... 错误!未定义书签。 设置VLAN的IP地址...................... 错误!未定义书签。 设置LOOPBACK ........................... 错误!未定义书签。
西科分布式网络信息安全系统(专业技术白皮书)
西科分布式网络信息安全系统技术白皮书 陕西西科电子信息科技有限公司二零零九年九月 目录 1 开发背 景 . ...................................................................................... ..................................................................................2 1.1内网信息安全分 析 .................................................................................................................................................. 2 1.2内网信息失泄密途径及防护措施.................................................................................. ........................................ 3 2 西安分布式网络信息安全系 统 . .................................................................................................................................... 4 2.1产品设计目 标 ..........................................................................................................................................................4 2.2产品设计原则 .......................................................................................................................................................... 5 2.3产品组 成 . ................................................................................... ..............................................................................52.3.1 端口控制系统(Safe
S5130S-HI系列交换机产品白皮书
H3C S5130S-HI 新一代千兆以太网交换机 产品概述 H3C S5130S-HI 系列交换机是杭州华三通信技术有限公司(以下简称H3C 公司)自主开发的千兆以太网交换机产品,是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。 H3C S5130S-HI 系列以太网交换机提供10/100/1000Base-T 自适应以太网端口、10G SFP+光口。在企业网中,可以作为接入设备提供千兆到桌面应用;在城域网或者行业用户中,向下可以提供千兆接入最终用户或汇接低端交换机,向上可以通过千兆万兆光纤或者链路聚合汇聚到大容量的L3 交换机。 H3C S5130S-HI 系列以太网交换机支持创新的IRF(Intelligent ReEIlient Framework,智能弹性架构)技术,用户可以将最多9 台交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。 H3C S5130S-HI 系列以太网交换机端口形态更加丰富,支持双可插拔电源。 H3C S5130S-HI 系列以太网交换机包含如下型号: S5130S-28S-HI:24 个10/100/1000BASE-T 以太网端口(其中8 个是combo 口),4 个10G BASE-X SFP+万兆端口,内置模块化冗余双电源; S5130S-52S-HI:48 个10/100/1000BASE-T 以太网端口,4 个10G BASE-X SFP+万兆端口,内置模块化冗余双电源; S5130S-28S-PWR-HI:24 个10/100/1000BASE-T 以太网端口(其中4 个是combo 口),4 个10G BASE-X SFP+万兆端口,内置模块化冗余双电源; S5130S-52S-PWR-HI:48 个10/100/1000BASE-T 以太网端口,4 个10G BASE-X SFP+万兆端口,内置模块化冗余双电源; S5130S-28S-HI S5130S-52S-HI S5130S-28S-PWR-HI S5130S-52S-PWR-HI
电话交换机使用说明
一科及多路通TC系列程控电话交换机说明书TC-208 TC-208B TC-312 TC-308B TC-416B TC-432B 2009-07-21 12:56 一科及多路通TC系列程控电话交换机说明书TC-208 TC-208B TC-312 TC-308B TC-416B TC-432B ?一科及多路通TC-208B电话交换机说明书 ?一科及多路通TC-308B电话交换机说明书 ?一科及多路通TC-212B电话交换机说明书 ?一科及多路通TC-312B电话交换机说明书 ?一科及多路通TC-216B电话交换机说明书 ?一科及多路通TC-316B电话交换机说明书 ?一科及多路通TC-416B电话交换机说明书 简明使用方法 来电显示:个分机口均可接来电显示电话 打出:直拨外方号码 转接:直拨分机号码(801-816) 内部通话:先拨“*”,再拨分机号码 允许8台(对)电话,包括外线出入呼叫、通话、转接,以及内部呼叫、通话、同时惊醒,互不干扰 1.简介 欢迎您选用沈阳魁星公司多路通程控电话交换机(或称集团电话)。当 您使用多路通交换机一段时间后,感觉怎样?您一定有答案,您的单位 或家庭拥有的是一台高性能价格比的电话扩容设备。例如您曾经使用过 或见过数千上万的进口,包括引进机型,您回觉得多路通程控电话交换 机与它们的通讯质量,产品素质并无差异,切与之相同机型的多路通交 换机,式样更小巧,安装更方便,操作更直观,而功能共多,更实用。 您也一定会推荐给你的亲友,推向您周围的社会。谢谢你。多路通交换 机是信号处理及鉴频技术能工作与不同制式的局系统以及边远山区非 标局系统。抗干扰,抗雷电,宽电源电压(160-240V)使之年使用各种 恶劣环境。多路通程控电话交换机的严格的质量管理,使其开箱合格为 99%以上,其返修小于2% 2.产品安装测试及基本使用方法
华为数据中心网络安全技术白皮书
HUAWEI 数据中心网络安全技术白皮书
目录 1数据中心网络安全概述 (6) 1.1“三大平面”安全能力与风险防御目标 (7) 2网络安全威胁分析 (9) 2.1拒绝服务 (9) 2.2信息泄漏 (9) 2.3破坏信息完整性 (9) 2.4非授权访问 (10) 2.5身份欺骗 (10) 2.6重放攻击 (10) 2.7计算机病毒 (10) 2.8人员不慎 (11) 2.9物理入侵 (11) 3管理平面安全 (12) 3.1接入控制 (12) 3.1.1认证和授权 (12) 3.1.2服务启停控制 (12) 3.1.3服务端口变更 (12) 3.1.4接入源指定 (13) 3.1.5防暴力破解 (13) 3.2安全管理 (13) 3.2.1SSH (13) 3.2.2SNMPv3 (14) 3.3软件完整性保护 (14) 3.4敏感信息保护 (14) 3.5日志安全 (14) 4控制平面安全 (16) 4.1TCP/IP安全 (16) 4.1.1畸形报文攻击防范 (16) 4.1.2分片报文攻击防范 (17) 4.1.3洪泛报文攻击防范 (17) 4.2路由业务安全 (18)
4.2.1邻居认证 (18) 4.2.2GTSM (19) 4.2.3路由过滤 (19) 4.3交换业务安全 (20) 4.3.1生成树协议安全 (20) 4.3.2ARP攻击防御 (22) 4.3.3DHCP Snooping (25) 4.3.4MFF (27) 5数据平面安全 (28) 5.1应用层联动 (28) 5.2URPF (28) 5.3IP Source Gard (29) 5.4CP-CAR (29) 5.5流量抑制及风暴控制 (30)