网络系统安全
网络系统安全
以太网安全:接口安全、防DHCP欺骗、ARP安全、防IP源欺骗,防止STP、VRRP、路由协议被攻击
接口安全
port-security enable
DHCP Snooping
dhcp snooping enable
动态ARP检测DAI
DAI依赖于DHCP Snooping来实现它的功能 user-bind
IP源防护IPSG
基于DHCP Snooping进行工作 ip source check
虚拟专用网络VPN
VPN按照协议分类主要有:PPTP VPN、L2TP VPN、IPSec VPN、GRE VPN、BGP/MPLS VPN、VPLS、EVPN、SSL VPN等
交换机的端口安全技术可以限制接口上的绑定MAC数量,从而防止MAC泛洪攻击。DHCP Snooping技术使得交换机可以监听接口上的计算机发送DHCP报文的情况,禁止计算机发送非法的DHCP报文,从而防止虚假的DHCP服务器分配非法的IP地址。DHCP Snooping会在交换机上产生一个绑定表,这个表记录了接口上的计算机的IP地址、MAC地址、VLAN等信息,为动态ARP检测、IP源地址保护提供了基础。动态ARP检测使得交换机可以监听接口上的计算机发送的ARP报文情况,ARP报文和DHCP Snooping绑定表信息对比,禁止计算机发送非法的ARP报文,从而防止ARP欺骗。IP源地址保护使得交换机检查接口上收到的IP数据包的源IP地址,源IP地址和DHCP Snooping绑定表信息对比,禁止计算机发送虚假源IP地址的数据包,从而防止IP源地址欺骗。
VPN是在Internet上构建私有网络的技术,采取了加密、散列、密钥交换、身份认证等技术保证数据的安全。IPSec VPN是最常见的三层VPN,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后;在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA;对等体间的数据将在IPSec隧道中加密传输。AH、ESP是两种常见的安全协议,AH可以防数据篡改、保证身份,ESP可以加密数据、防数据篡改、保证身份。IPSec VPN有隧道模式、传输模式两种封装方式。