<b> </b>
<b>浙江師範大學網絡改造總結(博達交換機網絡安全防禦技術應用)</b>
<b> </b>
一. 改造前網絡狀況及需求... 4
二. 改造方案... 4
1. 網絡拓撲... 4
2. 接入層網絡改造(樓彙聚,層接入)... 6
三. 博達交換機網絡安全防禦技術介紹... 6
1. Port Security技術... 8
1.1 MAC/CAM攻擊的原理和危害... 8
1.2 使用 Port Security feature 防範MAC/CAM攻擊... 8
1.3 Port-Security配置指令... 9
1.4 使用其它技術防範MAC/CAM攻擊... 10
1.5 Port-Security 功能應用配置... 10
2. DHCP Snooping技術... 11
2.1 采用DHCP管理的常見問題... 11
2.2 DHCP Snooping技術概況... 11
2.3 基本防範... 12
2.4 進階防範... 12
2.5、 DHCP Snooping功能應用配置... 13
3. Dynamic ARP Inspection技術... 13
3.1 ARP欺騙攻擊原理... 13
3.2 防範方法... 14
3.3 DAI功能應用配置... 14
3.4 配置DAI後的效果... 14
4. IP Source Guard技術... 14
4.1 常見的欺騙攻擊的種類和目的... 14
4.2 IP/MAC欺騙的防範... 15
4.3 IP Source Guard功能應用配置... 15
5. Filter過濾技術... 15
6. ACL通路清單控制技術... 17
7. Strom-Control技術... 17
8. QoS技術... 18
9. Logging and Warning技術... 18
10.總結... 19
11.浙師大實際配置... 19
四. 工程中的問題及解決情況... 24
1. Filter功能參數确認... 24
2. DHCP Snooping 功能的應用及問題的處理... 25
2.1 DHCP Snooping 功能的應用... 25
2.2實際應用情況... 27
2.3前後出現的問題及處理情況... 28
2.4 DHCP Snooping功能中的不足... 29
3. ARP表不穩定,MAC位址表不穩定... 30
4. ACL和QoS 不能同時使用... 31
5.記憶體洩漏... 31
6.華為接入層交換機下的使用者無故斷線... 31
7.Arp max-incomplete 100 指令重複... 31
五. 改造後網絡狀況... 32
<b>一. </b><b>改造前網絡狀況及需求</b>
浙江師範大學是一是以教育為主的省屬的重點大學,學校現有16個學院47個專業,全日制大學在校生19530餘人,研究所學生1400人。高峰時段同時網絡線上人數高達6000人。
由于随着網絡應用和網絡業務需求的不斷增長,随着網絡技術的不斷發展,原先的網絡結構逐漸暴露出一系列嚴重問題,使得網絡的整體性能、穩定性和安全性都不容樂觀,急需優化改造。原先網絡的主要問題如下:
1.原學校的3台cisco 4506會聚交換采用二層vlan透傳的方式與華為MA 5200G互聯。少量專線接入使用者通過校内的cisco4506的DHCP服務獲得位址(在cisco4506上配置網關,vlan終結在cisco4506上),這時三台cisco4506彙聚交換機的壓力較輕,但是MA5200G的壓力巨大,所有學生使用者都是通過MA5200G的DHCP服務擷取位址,網關指向MA5200G。一旦受到Arp,igmp,dhcp等攻擊時,MA5200G的CPU使用率就非常高。平時MA5200G三塊業務闆的CPU經常高達90%以上,造成使用者無法擷取ip位址和經常斷線的現象。
2.浙師大網絡目前最嚴重的問題是接入層(樓彙聚,層接入)的ARP攻擊嚴重導緻使用者不能正常上網,頻繁斷線。浙師大接入層的絕大多數交換機屬于普通二層交換機,無法支援VLAN劃分,廣播風暴抑制等功能,這造成廣播域過大,病毒攻擊等問題很容易造成網絡擁塞或中斷,同時大量的病毒攻擊已經造成了上層網絡裝置運作不穩定。
3.網絡接入層交換機安全配置需要進行優化,包括VLAN細化,廣播隔離。
<b>二. </b><b>改造方案</b>
我們博達公司主要負責接入層的改造,使用我們bdcom S3424和bdcom S3448替代原有樓彙聚裝置。S3424和S3448具有完善的安全防禦功能,通過filter,DHCP Snooping,port security,storm-contrl等功能,有效地過濾了ARP,IGMP,DHCP等攻擊,控制了廣播風暴等,提高了安全等級,可以有效減輕上層裝置MA5200G上的壓力,保護MA5200G不受到攻擊,進而解決使用者無法擷取ip位址,經常斷線,上層裝置運作不穩定等問題。
<b>1.</b><b>網絡拓撲</b>
改造後實際網絡拓撲
規劃時功能描述網絡拓撲
這和實際的網絡拓撲略有不同。在實際實施中樓彙聚使用的是我們的S3424和S3448,層接入不是使用的我們的S2226和S2448,使用的是華為2403H或D-link或港灣的二層交換機。在S3424和S3448上應用各種安全防禦技術。
<b>2.</b><b>接入層網絡改造(樓彙聚,層接入)</b>
由于浙師大接入層網絡存在着學生下載下傳流量大,網絡中存在大量的病毒包,廣播包和多點傳播視訊流,對網絡造成極大的沖擊和廣播風暴,給網絡安全可靠的運作帶來風險和阻礙。
針對目前接入層網絡中存在的問題,改變原二層VLAN透傳方式,每幢學生較高價的電梯大廈增加一台三層樓彙聚交換機(S3424或S3448),在此交換機上配置透傳相應vlan,每個接口都為trunk模式(上聯cisco 4506,下聯層接入二層交換機),除了少量直接連接配接學生使用者的接口為access模式。學生使用者的資料走二層交換,ip位址從MA5200G上獲得,網關指向MA5200G。VLAN2為管理VLAN。在新增的樓彙聚交換機上(S3424和S3448)配置必要的控制通路清單,廣播風暴抑制,vlan透傳,防禦arp,dhcp,igmp攻擊,開啟DHCP-Snooping等政策,提高接入層網絡及裝置的穩定性,縮小因大量攻擊造成接入層網絡及裝置出現故障的機率。
同時對大部分層接入的二層交換機進行更換(更換成華為2403H及D-link),并實作每個二層交換機端口一個VLAN的劃分,此舉可有效限制廣播域範圍,把ARP攻擊和病毒擴散限制在中毒使用者所在的VLAN内,進而控制病毒的擴散。在層接入交換機的每個端口上啟用廣播風暴抑制功能,減少廣播包對上層網絡裝置的沖擊。
進行接入層VLAN劃分以後,華為MA5200G可以限制每個VLAN中ARP攻擊的流量。但原先ARP攻擊源較多(10%以上的使用者感染病毒),即使實作每個交換機端口一個VLAN的劃分,總的ARP攻擊流量仍然會較大,導緻MA5200G負擔過重,影響使用者正常上網。是以,我們和華為的技術人員經過了協商,确認MA5200G攻擊報警機制,确定了更為合适的安全防禦參數,使安全防禦功能更為有效。同時,我們把那些在S3424和S3448上過濾掉的中毒使用者的MAC位址資訊上傳到指定的日志伺服器,便于技術人員對整個網絡的維護。
接下來是結合浙師大的應用,對我們博達交換機網絡安全防禦技術進行詳細介紹。
<b>三. </b><b>博達交換機網絡安全防禦技術介紹</b>
目前網絡上存在的攻擊和欺騙行為主要針對鍊路層和網絡層。在網絡實際環境中,其來源可概括為兩個途徑:人為實施;病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探,擷取管理帳戶和相關密碼,在網絡上中安插木馬,進而進行進一步竊取機密檔案。攻擊和欺騙過程往往比較隐蔽和安靜,但對于資訊安全要求高的企業危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和欺騙本身的目的,現象有時非常直接,會帶來網絡流量加大、裝置 CPU 使用率過高、二層生成樹環路直至網絡癱瘓。
根據安全威脅的特征分析,來自于網絡的攻擊主要包括:MAC位址泛濫攻擊、DHCP伺服器欺騙攻擊、ARP欺騙、IP/MAC位址欺騙、蠕蟲病毒(沖擊波、SQL蠕蟲等)、多點傳播廣播沖擊等。
浙江師範大學網絡改造前,由于ARP欺騙、SQL蠕蟲、沖擊波震蕩波等導緻網絡不安全、不穩定。改造後,采用博達S3000系列三層彙聚交換機和S2000系列二層智能增強型接入交換機。
博達交換機針對這類攻擊提供了全面的解決方案,主要基于下面的幾個關鍵的技術:
l Switchport Port Security Feature
l DHCP Snooping功能
l 動态ARP Inspection(DAI,Dynamic ARP Inspection)
l 源IP檢測防護功能(IP Source Guard)
l 防ARP欺騙攻擊、防DHCP欺騙攻擊、防IGMP攻擊(filter arp,filter dhcp,filter igmp)
l 通路清單控制技術〔MAC ACL、IP(TCP/UDP)ACL〕
l 多點傳播、廣播風暴抑制(Storm-control)
l QoS流量限速
l 日志報警
下面主要結合浙江師範大學網絡實際應用情況來說明如何在博達交換機上組合運用和部署上述技術,進而實作防止在交換環境中實施“中間人”攻擊、MAC/CAM 攻擊、DHCP 攻擊、ARP欺騙等,更具意義的是通過上面技術的部署可以簡化位址管理,直接跟蹤使用者 IP 和對應的交換機端口;防止IP位址沖突。同時對于大多數對二層、三層網絡造成很大危害的具有位址掃描、欺騙等特征的病毒可以有效的報警和隔離。
<b>網絡安全實施圖:</b>
下面對博大交換機各項網絡安全防禦技術進行說明
<b>1.</b><b>Port Security</b><b>技術</b>
<b>1.1 </b><b>MAC/CAM</b><b>攻擊的原理和危害</b>
交換機主動學習用戶端的 MAC 位址,并建立和維護端口和 MAC 位址的對應表以此建立交換路徑,這個表就是通常我們所說的 CAM 表。CAM 表的大小是固定的,不同的交換機的CAM 表大小不同。MAC/CAM 攻擊是指利用工具産生欺騙 MAC,快速填滿CAM 表,交換機CAM 表被填滿後,交換機以廣播方式處理通過交換機的封包,這時攻擊者可以利用各種嗅探攻擊擷取網絡資訊。CAM 表滿了後,流量以洪泛方式發送到所有接口,也就代表TRUNK 接口上的流量也會發給所有接口和鄰接交換機,會造成交換機負載過大,網絡緩慢和丢包甚至癱瘓。
<b>1.2 </b><b>使用</b><b> Port Security feature <b>防範<b>MAC/CAM<b>攻擊</b></b></b></b>
博達交換機Port Security feature 可以防止MAC和MAC/CAM攻擊。通過配置Port Security可以控制:
• 端口上學習或通過哪些IP位址或MAC 位址
• 端口上學習的最大MAC位址數
端口上學習或通過哪些MAC位址,可以通過靜态手工定義,也可以在交換機自動學習。交換機動态學習端口MAC,直到指定的MAC位址數量,交換機關機後重新學習。
在所有直連PC、伺服器的交換機上可以啟用該功能<b>。</b>
<b>1.3 </b><b>Port-Security</b><b>配置指令</b>
博達交換機Port-Security特性采取兩種操作,Bind(綁定,允許)和Block(阻塞,禁止)。
Switch_config_f0/1#switchport port-security ?
bind -- Config ip address binding with mac address on current port
block -- Block ip with mac address on current port
注意,這條指令是配置在端口上的,隻對進入端口的資料包有效
(1)端口bind綁定功能
(源IP、源MAC、源IP-MAC、關于某個sender IP位址的ARP)
Switch_config_f0/1#switchport port-security bind ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
配置舉例:
interface FastEthernet0/1
switchport port-security bind ip 192.168.1.100
switchport port-security bind mac 0000.e26d.8ca3
switchport port-security bind ip 192.168.1.101 mac 0000.e26d.8ca2
switchport port-security bind arp 192.168.1.1 mac 000a.ebbf.2b30
switchport port-security bind arp 192.168.1.2
!
在F0/1端口隻有符合上述配置條件的源IP位址、源MAC位址,ARP(sender ip)或者源IP-源MAC、ARP(sender ip)-源MAC組合才能準入。其他不符合條件的資料包一律丢棄。
(2)端口block功能
可以block(即阻塞過濾)某個源IP位址,某個源MAC位址,關于某個IP位址的ARP Response封包,某個源IP位址和關于某個IP位址的ARP封包的組合。
Switch_config_f0/1#switchport port-security block ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
switchport port-security block arp 192.168.1.1
switchport port-security block ip 192.168.1.100 mac 0000.e26d.8ca3
在F0/1端口對符合上述配置條件的ARP(sender ip)封包、源ip位址、源MAC位址,或者源IP-源MAC、ARP(sender ip)-源MAC組合進行block過濾,其它封包都允許進入。
<b>1.4 </b><b>使用其它技術防範</b><b>MAC/CAM<b>攻擊</b></b>
除了 Port Security,采用DAI 技術也可以防範 MAC 位址泛濫攻擊。
<b>1.5 </b><b>Port-Security </b><b>功能應用配置</b>
<b>彙聚交換機應用政策:</b>
(1)上行Trust端口配置
switchport port-security bind arp 172.21.129.2 mac 00e0.0f32.1c59
//将PPPoE Server内網口的ARP(sender ip)-MAC位址組合綁定到上行口。上行口隻能接受來自網關MA5200G的ARP封包。
(2)Untrust端口配置――直連PC或伺服器和下聯二層接入交換機
switchport port-security block arp 172.21.129.2
//禁止該端口接受sender ip為172.21.129.2這個IP位址(網關)的ARP封包,防止arp 欺騙,冒充網關
對于那些直連PC或伺服器(靜态IP位址)的端口,可以在端口上綁定PC或伺服器的ip位址和mac
switchport port-security bind ip 172.21.129.100 mac 0000.e26d.8ca3
switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3
//将該口直連PC或伺服器(靜态IP位址)的IP-MAC位址組合、ARP-MAC位址組合綁定到該端口
<b>2.</b><b>DHCP Snooping</b><b>技術</b>
<b>2.1 </b><b>采用<b>DHCP<b>管理的常見問題</b></b></b>
采用 DHCP server 可以自動為使用者設定網絡 IP 位址、掩碼、網關、 DNS 、 WINS 等網絡參數,簡化了使用者網絡設定,提高了管理效率。但在 DHCP 管理使用上也存在着一些另網管人員比較問題,常見的有:
• DHCP Server 的冒充。
• DHCP Server 的Dos 攻擊。
• 有些使用者随便指定位址,造成網絡位址沖突。
由于 DHCP 的運作機制,通常伺服器和用戶端沒有認證機制,如果網絡上存在多台 DHCP 伺服器将會給網絡照成混亂。由于使用者不小心配置了 DHCP 伺服器引起的網絡混亂非常常見,足可見故意人為破壞的簡單性。通常黑客攻擊是首先将正常的 DHCP 伺服器所能配置設定的 IP 位址耗盡,然後冒充合法的 DHCP 伺服器。最為隐蔽和危險的方法是黑客利用冒充的 DHCP 伺服器,為使用者配置設定一個經過修改的 DNS server ,在使用者毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站,騙取使用者帳戶和密碼,這種攻擊是非常惡劣的。
對于 DHCP server 的 Dos 攻擊可以利用前面将的 Port Security 和後面提到的 DAI 技術,對于有些使用者随便指定位址,造成網絡位址沖突也可以利用後面提到的 DAI 和 IP Source Guard 技術。這部分着重介紹 DHCP 冒用的方法技術。
<b>2.2 DHCP Snooping</b><b>技術概況</b>
DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP資訊,這些資訊是指來自不信任區域的DHCP資訊。DHCP Snooping綁定表包含不信任區域的使用者MAC位址、IP位址、租用期、VLAN-ID 接口等資訊,如下表所示:
Switch_config#show ip dhcp-relay snooping binding
Hardware Address IP Address remainder time Type VLAN interface
00-e0-0f-32-1c-59 172.21.129.2 infinite MANUAL 1 FastEthernet0/1
00-00-e2-6d-8c-a3 172.21.129.100 1185361564 DHCP_SN 3 FastEthernet0/4
這張表不僅解決了 DHCP使用者的IP和端口跟蹤定位問題,為使用者管理提供友善,而且還供給動态ARP檢測DAI和IP Source Guard使用。
<b>2.3 </b><b>基本防範</b>
首先定義交換機上的信任端口和不信任端口,對于不信任端口的 DHCP 封包進行截獲和嗅探, DROP 掉來自這些端口的非正常 DHCP 封包,如下圖所示:
需要注意的是 DHCP 綁定表要存在本地存貯器或導出到指定 TFTP 伺服器上,否則交換機重新開機後 DHCP 綁定表丢失,對于已經申請到 IP 位址的裝置在租用期内,網卡不斷電的話,不會再次發起 DHCP 請求,如果此時交換機己經配置了下面所講到的 DAI 和 IP Source Guard 技術,這些使用者将不能通路網絡。是以為了解決這個問題,我們可以定時把DHCP Snooping binding資訊上傳到指定tftp伺服器。
<b>2.4 </b><b>進階防範</b>
通過交換機的端口安全性設定每個 DHCP 請求指定端口上使用唯一的 MAC 位址,通常 DHCP 伺服器通過 DHCP 請求的封包中的 CHADDR 段判斷用戶端 MAC 位址,通常這個位址和用戶端的MAC位址是相同的,但是如果攻擊者不修改用戶端的 MAC 而修改 DHCP 封包中 CHADDR ,實施 Dos 攻擊, Port Security 就不起作用了, DHCP 嗅探技術可以檢查 DHCP 請求封包中的 CHADDR 字段,判斷該字段是否和 DHCP 嗅探表相比對。
<b>2.5</b><b>、<b>DHCP Snooping<b>功能應用配置</b></b></b>
(1) 上行口設定為Trust,和有dhcp snoping功能的交換機直連的端口設定為Trust,和沒有dhcp snoping功能的交換機如普通的二層交換機直連的端口設定為Untrust,直連PC或伺服器的端口設定為Untrust。
交換機所有端口預設配置Untrust
通過下面的指令配置為Trust模式:
dhcp snooping trust
(2) 全局配置模式開啟DHCP Snooping功能,并在每個VLAN啟用DHCP Snooping功能
ip dhcp snooping 全局開啟DHCP Snooping功能
ip dhcp snooping vlan 1-100,200 定義哪些VLAN啟用 DHCP Snooping
對于某些PC或伺服器(untrust端口下的)設定靜态IP位址的,需要在交換機上手工添加DHCP 綁定表
ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
(3) 導出 DHCP 綁定表到 TFTP 伺服器,定期備份
ip dhcp-relay snooping database-agent 172.21.129.100
ip dhcp-relay snooping db-file dhcp.txt
<b>3.</b><b>Dynamic ARP Inspection</b><b>技術</b>
<b>3.1 ARP</b><b>欺騙攻擊原理</b>
ARP用來實作MAC位址和IP位址的綁定,這樣兩個工作站才可以通訊,通訊發起方的工作站以MAC廣播方式發送ARP請求,擁有此IP位址的工作站給予ARP應答,送回自己的IP和MAC位址。
由于ARP無任何身份真實校驗機制,攻擊主機通過黑客程式發送ARP欺騙封包告訴請求某個IP位址的主機一個錯誤的MAC位址,随後使得網絡流量流向惡意攻擊者的主機,是以攻擊主機變成某個區域網路段IP會話的中間人,造成竊取甚至篡改正常資料傳輸的後果。
<b>3.2 </b><b>防範方法</b>
博達Dynamic ARP Inspection (DAI)在交換機上提供IP位址和MAC位址的綁定, 并動态建立綁定關系。DAI 以 DHCP Snooping綁定表為基礎,對于沒有使用DHCP的伺服器個别機器可以采用靜态添加ARP access-list實作。DAI配置針對VLAN,對于同一VLAN内的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求封包數量。通過這些技術可以防範“中間人”攻擊。
<b>3.3 DAI</b><b>功能應用配置</b>
<b>彙聚交換機和接入層交換機應用政策:</b>
(1) 啟用DAI功能的前提是已經啟用了DHCP Snooping功能;
(2) 交換機可信端口配置arp inspection trust,其餘端口預設不可信(no arp inspection trust);
(3) 全局模式開啟DAI功能:
ip arp inspection vlan 1-100,200 定義對哪些 VLAN 進行ARP封包檢測
<b>3.4 </b><b>配置<b>DAI<b>後的效果</b></b></b>
• 在配置DAI技術的接口上,使用者端不能采用指定位址接入網絡。如果使用者端設定靜态IP位址,則必須在端口下配置switchport port-security bind arp 172.21.129.100 mac 0000.e26d.8ca3。
• 由于DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系,無法實施中間人攻擊,攻擊工具失效。
• 使用者擷取 IP位址後,使用者不能修改IP或MAC,如果使用者同時修改IP和MAC必須是網絡内部合法的IP和MAC才可,對于這種修改可以使用下面講到的 IP Source Guard技術來防範。
<b>4.</b><b>IP Source Guard</b><b>技術</b>
<b>4.1 </b><b>常見的欺騙攻擊的種類和目的</b>
常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般為僞造身份或者擷取針對IP/MAC的特權。當目前較多的是攻擊行為:如Ping Of Death、syn flood、ICMP unreacheable Storm。
<b>4.2 IP/MAC</b><b>欺騙的防範</b>
IP Source Guard 技術通過下面機制可以防範 IP/MAC 欺騙:
• IP Source Guard 使用 DHCP sooping 綁定表資訊。
• 配置在交換機端口上,并對該端口生效。
• 運作機制類似 DAI,但是 IP Source Guard不僅僅檢查ARP封包,所有經過定義IP Source Guard檢查的端口的封包都要檢測。
• IP Source Guard檢查 接口 所通過的流量的IP位址和MAC位址是否在DHCP sooping綁定表,如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP伺服器支援Option 82,同時使交換機支援Option 82資訊。
通過在交換機上配置 IP Source Guard:
• 可以過濾掉非法的 IP位址,包含使用者故意修改的和病毒、攻擊等造成的。
• 解決 IP位址沖突問題。
• 提供了動态的建立 IP+MAC+PORT的對應表和綁定關系,對于不使用DHCP的伺服器和一些特殊情況機器可以采用利用全局指令靜态手工添加對應關系到綁定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中間人攻擊”。
<b>4.3 IP Source Guard</b><b>功能應用配置</b>
<b> 彙聚交換機和接入層交換機應用政策:</b>
(1) 啟用IP Source Guard功能的前提是已經啟用了DHCP Snooping功能;
(2) 交換機可信端口配置ip-source trust,其餘端口預設不可信(no ip-source trust);
(3) 全局模式開啟IP Source Guard功能:
ip verify source vlan 1-100,200 定義對哪些 VLAN 進行ARP封包檢測
(4) 對于不使用 DHCP 擷取IP位址的交換機端口配置:
<b>5.</b><b>Filter</b><b>過濾技術</b>
Filter過濾技術可以有效防止合法的IP或MAC位址發起的大流量ARP、DHCP、IGMP攻擊。
網絡中存在這樣一種情況:某個IP位址或MAC位址在某台交換機某個端口是合法的,該PC由于某種原因向外發送大量的ARP請求/應答封包、IGMP多點傳播封包或DHCP Discover封包,嚴重消耗網絡交換機CPU資源,使用率可達99%乃至當機。
此時,利用Filter技術定義一個統計周期,限定一個閥值,在規定的統計周期内相關封包數量超過閥值後,交換機對相關MAC位址進行Block操作,Block時間可自定義。
全局模式:
filter period 10 統計周期10秒
filter threshold arp /igmp /dhcp /ip 100 統計arp /igmp /dhcp /ip包數量100個
filter block-time 300 禁閉時間300秒
filter igmp 啟用對IGMP攻擊的過濾
filter dhcp 啟用對DHCP攻擊的過濾
filter ip 啟用對IP廣播的過濾
filter enable 在全局下啟用過濾功能
端口模式:
filter arp
filter dhcp
filter ip
另外:ARP RESPONSE功能配置
arp free-response //啟用免費發放arp response封包的功能
arp free-response interval 30 //發放arp response封包的間隔
全局模式,設定限定最大未解析位址數
arp max-incomplete 100
<b>應用:在彙聚層、接入層所有交換機均配置</b><b>Filter</b><b>功能,有效防止合法主機(合法的</b><b>IP</b><b>位址和</b><b>MAC</b><b>位址)發出的大量合法但不正常的</b><b>ARP</b><b>、</b><b>IGMP</b><b>、</b><b>DHCP</b><b>攻擊封包。</b>
<b>6.</b><b>ACL</b><b>通路清單控制技術</b>
博達交換機支援二層MAC ACL和三層IP ACL。
(1)二層MAC ACL(基于源MAC、目的MAC)
在全局模式下建立VLAN、MAC通路清單,設定允許或禁止某個(些)VLAN、MAC位址到某個(些)VLAN、MAC位址的通路,最後将該VLAN、MAC通路清單應用于端口模式下。
(2)三層IP ACL(基于源目的IP、源目的TCP/UDP端口、時間等)
三層基于IP位址以及應用的通路控制:對于不同網段的通信,通過三層轉發,在三層采用ACL通路控制清單技術進行控制,不允許其他網段對業務網段的通路,可以通過配置ACL,禁止從其他網段到業務網段的TCP、UDP封包,控制基于四~七層端口号。對于OA網段,也可以做到單向通路,因為常用的如icmp、telnet、ftp、http、pop、smtp等應用都是采用1024以下的公開偵聽端口的,而發送采用1024以上的端口号。
目前的交換機一般都支援兩種類型的通路表:基本通路表和擴充通路表。
基本通路表控制基于網絡位址的資訊流,且隻允許過濾源位址。
擴充通路表通過網絡位址和傳輸中的資料類型進行資訊流控制,允許過濾源位址、目的位址和上層應用資料。
<b>應用:在彙聚層和接入層交換機上配置</b><b>ACL</b><b>,過濾具有</b><b>TCP</b><b>、</b><b>UDP</b><b>端口特征的病毒端口,如</b><b>TCP 135</b><b>、</b><b>139</b><b>、</b><b>445</b><b>端口,</b><b>SQL Server TCP 1433</b><b>或者</b><b>UDP1434</b><b>端口。</b>
<b>7.</b><b>Strom-Control</b><b>技術</b>
風暴抑制防止交換機的端口被區域網路中的廣播、多點傳播或者一個實體端口上的單點傳播風暴所破壞。
當風暴抑制開啟了時,交換機監控所轉發的封包是單點傳播,多點傳播還是廣播。交換機周期性統計廣播多點傳播和單點傳播的數目,每1秒鐘一個周期,當某種類型流量到達了門限值,這種流量就會被丢棄。這個門限可以用多點傳播、廣播使用的總的可用帶寬百分比或者封包的個數(pps)來指定。
<b>應用:交換機所有直連</b><b>PC</b><b>或伺服器的端口配置:</b>
storm-control broadcast threshold 50 限制廣播包數量50個/秒,超過丢棄
storm-control multicast threshold 50 限制多點傳播包數量50個/秒,超過丢棄
<b>8.</b><b>QoS</b><b>技術</b>
博達交換機QoS支援ARP封包識别,通過定義MAC ACL,以及QoS調用MAC ACL對ARP封包進行流量限速(action bandwidth)。
<b>應用:在彙聚層交換機上啟用</b><b>QoS</b><b>流量限速,針對</b><b>ARP</b><b>總流量進行限制。</b>
mac access-list arp
permit any any 2054 ARP封包類型
policy-map arp
classify mac access-group arp
action bandwidth 1 限制ARP封包數量1秒鐘64Kbps
interface range FastEthernet0/1 - 24 (所有下行端口應用)
qos policy arp ingress
<b> </b>
<b>9.</b><b>Logging and Warning</b><b>技術</b>
博達交換機Filter過濾功能,對ARP、DHCP、IGMP攻擊進行過濾,某個MAC位址被Block後會提示一條資訊,可以通過日志功能将該資訊上傳到日志伺服器。便于檢視并準确定位網絡中存在的問題。
<b>應用:在所有交換機上開啟</b><b>Log</b><b>功能。</b>
logging 172.21.120.100
logging trap warnings/information
BDCOM_Switch_config#show filter
Filter threshold: 100 packets in any 60 seconds
Filters blocked:
Cause Address seconds source interface
ARP 0000.e26d.8ca3 22.47 FastEthernet0/3
<b>10</b><b>.總結</b>
綜上所述通過配置博達交換機的上述特征,不僅解決了一些典型攻擊和病毒的防範問題,也為傳統 IP位址管理提供了新的思路。
通過上面的幾項技術解決了傳統的利用DHCP伺服器管理用戶端IP位址的問題:
• 故意不使用手工指定靜态 IP位址和DHCP配置設定位址沖突
• 配置 DHCP server
• 使用靜态指定 IP遇到的問題
• 不使用配置設定的 IP位址和伺服器或其他位址沖突
• 不容易定位 IP位址和具體交換機端口對應表
使用靜态位址的重要伺服器和計算機,可以進行靜态綁定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard綁定表項, 來保護這些裝置,同時也防止來自這些裝置的攻擊。
使用DHCP Snooping 、DAI、IP Source Guard、Filter、Storm-control、QoS、Log技術能解決大部分網絡上存在的攻擊、欺騙行為,因為大多數對區域網路危害較大的網絡病毒都具有典型的特征:IP/MAC、ARP、DHCP欺騙和快速的發包掃描,大量的多點傳播、廣播封包等等。采用上述技術很大程度上可以自動切斷病毒源,及時告警,并準确定位病毒源。
<b>11</b><b>.浙師大實際配置</b>
!version 2.0.1K
service timestamps log date
service timestamps debug date
logging 10.1.2.201
hostname CY_B_Girl(M)
mirror session 1 destination interface f0/24
mirror session 1 source interface g0/1 both
spanning-tree mode rstp //快速生成樹模式
ip access-list standard IP-ACCESS
permit 10.104.4.0 255.255.252.0
ip access-list extended virus //控制通路清單
deny tcp any any eq 113
deny tcp any any eq 134
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 134
deny udp any any eq 135
deny udp any any eq 136
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 139
deny tcp any any eq 420
deny udp any any eq 445
deny tcp any any eq 593
deny udp any any eq 593
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1434
deny tcp any any eq 1999
deny tcp any any eq 2745
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3333
deny tcp any any eq 4331
deny udp any any eq 4334
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 5554
deny tcp any any eq 5632
deny udp any any eq 5632
deny tcp any any eq 5800
deny udp any any eq 5800
deny udp any any eq 5900
deny tcp any any eq 5900
deny tcp any any eq 6667
deny udp any any eq 7626
deny tcp any any eq 9604
deny tcp any any eq 9995
deny tcp any any eq 9996
deny tcp any any eq 10080
deny tcp any any eq 31270
deny tcp any any eq 39213
deny udp any any eq 39213
permit ip any any
aaa authentication login default local
aaa authentication enable default enable
username jhdx password 7 093b2243480f131f6a18
enable password 7 093B2243480F131F6A18 level 15
interface FastEthernet0/1 //連接配接二層接入交換機,為Untrust端口
description Link To D-LINK_Harbour1024Q_1_E0/1
filter arp //過濾arp功能
filter dhcp //過濾dhcp功能
switchport mode trunk
switchport trunk vlan-allowed 1-2,847-869 //透傳相應vlan
speed 100
duplex full
storm-control broadcast threshold 1200 //廣播,多點傳播風暴控制
storm-control multicast threshold 1200
ip access-group virus //控制通路清單
switchport protected //端口隔離
switchport port-security block arp 10.104.4.1 //禁止sender ip為10.104.4.1(網關)的
! ARP封包進入,防止冒充網關
interface FastEthernet0/2
description Link To D-LINK_Harbour1024Q_2_E0/1
filter arp
filter dhcp
switchport trunk vlan-allowed 1-2,870-892
storm-control broadcast threshold 1200
ip access-group virus
switchport protected
switchport port-security block arp 10.104.4.1
interface FastEthernet0/23 //直接連接配接使用者PC,為Untrust端口
filter arp //arp過濾功能
filter dhcp //dhcp過濾功能
switchport pvid 845 //劃分VLAN
storm-control broadcast threshold 50 //廣播,多點傳播風暴控制
storm-control multicast threshold 50
ip access-group virus //控制通路清單
interface FastEthernet0/24
switchport pvid 846
storm-control broadcast threshold 50
interface GigaEthernet0/1 //上聯端口,為trust端口
description Link To C4506_4_GI2/2
switchport trunk vlan-allowed 1-2,842-1001,1007-1641,3584-3629 //透傳相應VLAN
dhcp snooping trust //設定為trust端口
arp inspection trust
ip-source trust
speed 1000
interface GigaEthernet0/2 //下聯彙聚交換機3424(有DHCP Snooping 功能),為trust
description Link To CY_B_Girl(S)_BDCOM_S3424_GI0/1 端口
switchport trunk vlan-allowed 1-2,1288-1641,3607-3629 //透傳相應VLAN
dhcp snooping trust //設定為trust端口
duplex full
ip access-group virus //控制通路清單
interface VLAN1
description Management_Vlan
ip address 1.1.1.1 255.255.255.0
no ip directed-broadcast
interface VLAN2 //管理VLAN
ip address 10.3.3.39 255.255.255.0
filter period 5 //統計時間間隔5秒
filter block-time 7200 //blcok時間7200秒
filter threshold arp 25 //統計arp包個數25個
filter threshold dhcp 25 //統計dhcp包個數25個
filter threshold igmp 50 //統計igmp包個數50個
filter igmp //igmp過濾功能
filter dhcp //dhcp過濾功能
filter enable //全局開啟過濾功能
vlan 1-2,842-1001,1007-1641,3584-3629
ip dhcp-relay snooping //全局開啟dhcp snooping功能
ip dhcp-relay snooping vlan 842-1001,1007-1287,3584-3606 //添加需要檢測的VLAN
ip arp inspection vlan 842-1001,1007-1287,3584-3606//全局模式開啟DAI功能
ip verify source vlan 842-1001,1007-1287,3584-3606 //全局模式開啟IP Source Guard
database-agent 10.1.2.201 //dhcp snooping binding資訊上傳到10.1.2.201 tftp伺服器
ip dhcp-relay snooping db-file CY_B_Girl(M) //上傳檔案名為CY_B_Girl(M)
ip dhcp-relay snooping write-time 60 //上傳時間間隔為60分鐘
ip route default 10.3.3.1
tftp-server
<b>四. </b><b>工程中的問題及解決情況</b>
<b>1.</b><b>Filter</b><b>功能參數确認</b>
為了配合上層裝置MA5200G的報警機制,需要對我們BD S3424/S3448上filter功能的參數進行更為合适的設定。首先需要了解filter功能的處理機制。
<b> </b>經過自己的測試并和研發交流,确認了filter功能的處理機制:
(1)Filter 功能中統計的封包是經過交換機CPU處理的封包,如廣播封包,DHCP封包或發向交換機CPU 的封包,對單波封包不加統計。是以filter功能隻能過濾經交換機CPU處理的封包。
(2)filter period 5 filter threshold arp 25 filter block-time 7200指的是在統計周期5秒内,一旦統計到ARP廣播包或發向交換機CPU的ARP包超過25個,就block相對應的mac位址7200秒。這裡有兩點要注意:一是在統計周期内,統計的包個數一超過25個,就block對應mac位址,不必等到周期結束。如,在第二秒統計的包個數已經超過25個,就立即block對應mac。如果在統計周期内,統計的包個數沒有到達上限,周期結束後統計清0。二是統計包個數和block都是對應于mac位址的,通過show filter我們就能看出
(3)隻要在交換機上配置日志上傳功能(warning,information),隻要當有mac位址被block了,就會上傳到指定日志伺服器,便于管理
(4)要在交換機上應用filter功能,必須在全局模式下開啟filter功能(filter enable)。Filter arp必須在接口下配置,filter dhcp必須在接口和全局下都配置,filter igmp隻需在全局下配置
l 華為MA5200G報警機制相關參數
經過接入層網絡改造的學生較高價的電梯大廈分别接入在兩台C4506彙聚交換機下,實作了每端口每VLAN的劃分,每VLAN下最少有一個使用者,最多有5-8個使用者。華為MA5200G在相關的業務單闆上的Host-Car值配置為8K(每VLAN),這是目前華為可配置的最小參數,這樣每VLAN的ARP等上報CPU處理的封包最多為12個/s,MA5200G在每VLAN出現每秒12個攻擊封包時,并持續5秒種相同或更大頻率的攻擊,裝置将會産生一條告警。每塊業務單闆在正常開展業務的情況下(CPU控制在50%)可以處理上報CPU處理封包為1Mb/s(每秒1560個封包)。
參數計算過程:arp封包為64位元組,20位元組為資料包廂隙
8×1024/(8×(64+20))=12
1×1024×1024/(8×(64+20))=1560
l 确定博達彙聚交換機(S3424/S3448)相關參數
博達彙聚交換機(S3424/S3448)部署在每幢學生較高價的電梯大廈的接入層網絡出口處,在交換機上實作了防ARP欺騙和攻擊配置,設定為如果在5秒種内檢測到50個ARP封包(針對單個MAC),就将此使用者(MAC)關閉2個小時,當在一個統計周期内(目前為5秒鐘),一旦有使用者攻擊超過以上設定的最大值,不用等到一個統計周期結束交換機會立即關閉此MAC位址。以上參數可以根據網絡現狀進行調整,統計周期為1-60秒,統計包數量範圍為5-2000個,因區域網路環境下必須依靠ARP進行通信,是以不能完全關閉或過少地限制ARP封包,我們建議設定為5秒50個ARP封包,以滿足華為MA5200G正常開展業務,使其單闆CPU控制在50%之内。
經過一個月在實際環境下的測試,最後調整了相應參數:統計周期為5秒,統計arp包數為25個,block時間為2小時。實際配置如下
filter period 5
filter block-time 7200
filter threshold arp 25
filter threshold dhcp 25
filter threshold igmp 50
filter igmp
filter dhcp
filter enable
<b>2.</b><b>DHCP Snooping </b><b>功能的應用及問題的處理</b>
<b>2.1 DHCP Snooping </b><b>功能的應用</b>
(1)要應用DHCP-Snooping功能,必須在全局下開啟DHCP Snooping功能(ip dhcp-relay snooping),全局下配置需要檢測的VLAN (ip dhcp-relay snooping vlan),給端口配置為trust(dhcp snooping trust),預設為untrust端口。這樣對于這些需要檢測的VLAN中的主機(untrust 端口下的),交換機通過DHCP offer ,DHCP ack封包建立起dhcp snooping binding 資訊,綁定資訊如下:
對應mac位址,ip位址,租賃時間,VLAN,端口
注意,對于trust端口不會進行檢測,其綁定資訊也不會建立,通過show ip dhcp-relay snooping binding觀察,不會有trust端口下的綁定資訊。(其實trust端口下主機的綁定資訊同樣會建立在硬體中,可以通過show ip dhcp-relay snooping binding all指令檢視。而show ip dhcp-relay snooping binding是檢視CPU中的綁定資訊)。其中有一項為remainder time 為租賃時間,等到此項變為0時,此綁定條目便會消失。
啟動了DHCP Snooping功能後,對于這些需要檢測的VLAN,如果在untrust端口收到的DHCP Response封包時,會把其丢棄。
如果在untrust端口下的使用者要使用靜态ip,必須在交換機上進行手工綁定,如
通過show ip dhcp-relay snooping binding,可看到 TYPE 為“手工”。
(2)應用DAI技術,可以根據Snooping bnding資訊檢測ARP封包。在啟用DAI功能的前提是已經啟用了DHCP Snooping功能。在全局模式下開啟DAI功能,添加需要檢測ARP封包的VLAN(ip arp inspection vlan 1-100,200),給端口配置為trust(arp inspection trust),預設為untrust端口。這樣,對于在untrust端口,接收到的需要檢測VLAN的ARP封包進行檢測。
注意,啟用DHCP Snooping功能是啟動DAI功能的前提,因為其檢測依據是DHCP Snooping binding表資訊。在untrust端口,符合binding資訊的ARP封包允許進入,否則丢棄。對trust端口收到的arp 封包不進行檢測。
(3)應用IP Source Guard技術,可以根據Snooping bnding表資訊檢測IP封包。在啟用IP Source Guard功能的前提是已經啟用了DHCP Snooping功能。在全局模式下開啟IP Source Guard功能,添加需要檢測IP封包的VLAN(ip verify source vlan 1-100,200),給端口配置為trust(ip-source trust),預設為untrust端口。這樣,對于在untrust端口,接收到的需要檢測VLAN的IP封包進行檢測。
注意,啟用DHCP Snooping功能是啟動IP Source Guard功能的前提,因為其檢測依據是DHCP Snooping binding表資訊。在untrust端口,符合binding資訊的IP封包允許進入,否則丢棄。對trust端口收到的IP封包不進行檢測。
(4)開啟了DHCP Snooping,DAI,IP Source Guard功能就可以根據snooping綁定表資訊,檢測untrust端口收到的arp,IP封包。
如果已經在交換機上建立綁定資訊的使用者(通過DHCP擷取位址)想要換個端口使用,必須先釋放位址(ipconfig -release),清除綁定資訊,然後再換端口擷取位址,重建立立綁定資訊。
<b>2.2</b><b>實際應用情況</b>
在這張拓撲中我們可以看到交換機上開啟了DHCP Snooping,DAI,IP Source Guard功能,路由器開啟DHCP服務。
l PC1和PC2在untrust端口下,通過自動擷取IP位址建立綁定資訊,上網。如果想換端口必須先要釋放位址。換到trust端口也必須先釋放位址。否則在交換機上debug會顯示 此mac已經被另一個端口綁定。
l PC3在trust端口下,可以用靜态IP上網,不會進行檢測。同樣PC3也可以用自動擷取IP位址上網,這時其綁定資訊會建立在硬體中,可以通過show ip dhcp-relay snooping binding all檢視,但是這條綁定條目不會起作用,因為trust端口不進行檢測,可以使用靜态IP。但有一點要注意,如果PC3想更換到其它trust或untrust端口下自動擷取IP上網,那也必須先釋放位址,否則同樣會在交換機上debug顯示 此mac已經被另一個端口綁定。
l 伺服器接在untrust端口下,使用的是靜态IP位址。需要在交換機上手工綁定,如:
l ip source binding 00-e0-0f-32-1c-59 172.21.129.2 interface FastEthernet0/1
<b>2.3</b><b>前後出現的問題及處理情況</b>
(1)公司測試部測試正常,能夠通過DHCP封包建立起綁定資訊。但在浙師大實際環境下應用不正常,能夠獲得IP位址,但綁定條目建立不起來。
浙師大的DHCP服務是在華為的MA5200G上開啟的,後确認華為的DHCP封包和我們的DHCP封包有所差別,存在相容性問題,是以建立不起來,需要對應華為的DHCP封包更改版本。
版本更改後解決。
(2)DHCP Snooping綁定條目建立不正常,remainder time 為-1,綁定條目建立後随即消失。
後确認由于DHCP snooping功能對租賃時間識别的長度和實際租賃時間的長度不比對導緻的。
(3)DHCP-SNOOPING 綁定條目上傳TFTP出現問題。
(4)經測試,DHCP-SNOOPING 綁定條目在remainder time 變為0時不會清楚。
<b>2.4 DHCP Snooping</b><b>功能中的不足</b>
(1)我們交換機是把DHCP Snooping綁定資訊上傳到指定tftp伺服器,交換機重新開機後自動從tftp伺服器上讀取綁定資訊,這相對來說比較麻煩。
我參考過Cisco的關于DHCP Snooping的資料,其是通過寫到FLASH中來實作的,比較友善。
我和研發人員交流過相關細節,研發人員指出由于硬體原因難以實作類似功能。
(2)我們交換機在添加DHCP手工綁定時有一個很大的缺陷:
其中我們可以注意到沒有關于VLAN的選項,然而在DHCP Snooping綁定資訊
中分别是mac,ip,remainder time,Vlan和接口。
這在實際應用中造成很大的問題,比如在浙師大的情況,S3424下聯華為的二層交換機,在二層交換機上劃分許多VLAN。S3424下聯二層交換機的端口為trunk模式,并為untrust端口。
如果按照上述指令手工綁定的話,因為下聯端口為trunk模式,我們可以通過檢視DHCP Snooping 表發現:
Hardware Address IP Address remainder time Type VLAN interface
其中VLAN這項為1,然而實際中此MAC對應的VLAN并不一定是1,造成手工綁定的使用者仍不能夠上網。
Cisco 的手工DHCP綁定是這樣的:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
其中有VLAN這一項,可以解決上述問題。
<b>3.</b><b>ARP</b><b>表不穩定,<b>MAC<b>位址表不穩定</b></b></b>
在浙師大實際環境中發現S3424和S3448上ARP位址表不穩定,mac位址表不穩定。通過和研發和測試人員溝通,可能是由于不斷地收到生成樹拓撲改變封包而導緻的。
經觀察發現S3424上不斷地收到來自上聯Cisco 4506的生成樹拓撲變化封包(如,Aug 27 11:39:28 STP(TC):RSTP(G0/1) Topo-Change notified by TC flag),我們嘗試在S3424上關閉生成樹,的确解決了ARP表不穩定的問題。
我們通過在交換機上擷取相關資訊和查閱相關資料,找到了原因:
在這個網絡拓撲中,是要以Cisco4506為根網橋的,Cisco下連了10台左右的S3424。通過觀察發現Cisco4506的生成樹優先級為32769,BDS3424的生成樹優先級為32768,
由于低于Cisco的優先級,是以導緻不斷産生生成樹拓撲變化。
根橋 = 根橋擁有最低的Bridge ID Bridge ID = 橋的優先值 + 橋 MAC address
Cisco預設的生成樹協定為PVST,對于每個VLAN 都需要有唯一的8byte的橋ID(2byte表示優先級,6byte表示交換機CPU的mac)
PVST的橋優先級(2byte)是這樣的
交換機優先級字段變成4bit。另外12bit來表示vlan ID。相加形成唯一的橋ID。
4bit 的交換機優先級+12 bit 擴充系統ID, 12bit 擴充系統ID等于VLAN ID
是以在cisco4506上觀察到的優先級為32768+1(VLAN1)=32769
在BD S3424上使用的是RSTP,預設優先級為32768。
在華為2403H上使用的是RSTP,預設優先級為32768。
通過和Cisco的技術人員交流,修改了Cisco4506上生成樹的優先級為28672,保證其為根橋。S3424和S3448上的arp表穩定。
問題解決。
<b>4.</b><b>ACL</b><b>和<b>QoS <b>不能同時使用</b></b></b>
和研發人員确認過,某些QoS不能和ACL同時使用,因為它們使用的硬體表項有些是相同的,硬體原因,無法解決。
<b>5.</b><b>記憶體洩漏</b>
在觀察交換機資訊時發現某些S3424和S3448有記憶體洩漏現象,但記憶體使用不多,沒有造成當機。通過發送相關資訊給研發,定位是有些不知名的tcp連接配接的挂起,沒有釋放。情況還在跟蹤,沒有解決。
<b>6.</b><b>華為接入層交換機下的使用者無故斷線</b>
使用者擷取位址後,正常上網。随機會出現無故斷線,一般過1分鐘左右又恢複正常。但是在斷線時并不是整個S3424下的所有使用者全都斷線,也不是S3424下某一台華為2403H下的所有使用者全都斷線。斷線情況隻是分别出現在一些使用者身上,并不是同時。
通過在S3424和S3448下聯華為2403H端口,和華為2403H上聯端口抓取封包資訊,送出給研發及相關人員,并與之交流,發現在使用者無故斷線時,S3448上收到來自華為交換機的生成樹拓撲變化封包,封包内容顯示華為交換機認為自己是根橋,導緻某些端口狀态變化。是以會有一分鐘左右的斷線。
和電信人員交流,電信相關人員為了快速解決問題,關閉了二層交換機的生成樹協定。
現在網絡穩定,問題解決。
<b>7.</b><b>Arp max-incomplete 100 </b><b>指令重複</b>
配置了Arp max-incomplete 100 指令後,show run發現此條指令出現兩條。
和研發人員确認,此情況對全局下配置IP類型指令有影響,IP類型指令得不到儲存。
<b>五. </b><b>改造後網絡狀況</b>
經過一個月的測試,觀察和使用,浙師大網絡趨于穩定。在晚間并發連接配接數已經高達5800,接近于曆史最高6000。
在網絡改造之前,華為MA5200G經常會受到攻擊,每塊業務闆的CPU使用率常常高達95%以上。經過網絡優化改造,BD S3424和BD S3448的網絡安全防禦技術過濾了絕大多數的攻擊,有效地保護了上層核心裝置。現在高峰時間MA5200G的每塊業務闆的CPU使用率都隻有5%,效果明顯<b>。</b>
金華電信相關技術人員有詳細的統計資料,很好地證明了這一結果。