华为数据中心5800交换机01-09 端口安全配置
华为数据中心5800交换机01-06 MFF配置
Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
Server
Server
Server
Server Flow through Gateway
Flow not through Gateway
接口角色
在部署MFF的设备(后续简称MFF设备)上存在两种接口角色:用户接口和网络接 口。
ቤተ መጻሕፍቲ ባይዱ
6 MFF 配置
MFF通过ARP代答机制,截获用户发送的ARP请求报文,回复包含网关MAC地址的 ARP应答报文。设备通过这种方式将用户流量强制引向网关,达到二层隔离和三层互 通的作用。
目的
在以太网中,由于用户之间的业务不同,需要对用户之间进行二层隔离。在不同业务 的用户之间有时又需要进行通信,所以需要实现用户之间的三层互通。在传统的以太 网组网方案中,为了实现不同用户之间的二层隔离和三层互通,通常采用在设备上划 分VLAN的方法。但是存在以下几种不足:
为此MFF在处理用户对应用服务器的访问时,在MFF设备中指定应用服务器的IP 地址,设置用户可以访问的应用服务器列表。MFF设备捕获从客户端主机发出的 ARP请求,并以应用服务器的MAC地址作为源MAC地址应答ARP。对于应用服务 器的ARP请求,MFF设备将会回应它所请求的用户MAC地址。这样实现用户与应 用服务器之间的二层互通,流量不需要经过网关就可转发至服务器。
– 手动配置网关IP地址
如果用户的IP地址是静态配置的,MFF设备则无法通过DHCP报文来获取网关 IP地址,因此需要在MFF设备上手动配置该IP。配置静态网关(即静态用户 的网关)的IP地址后,MFF设备通过捕获用户侧在线用户的ARP请求报文, 进而触发生成或者更新包含用户信息的MFF表项。如果在未学习到网关MAC 地址的情况下收到用户的ARP请求,MFF设备将不会转发该ARP请求,而以 用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关,并从网关回 应的ARP应答报文中学习网关MAC地址。
华为数据中心5800交换机01-01 接口基础配置
1接口基础配置关于本章1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
1.2 配置接口基本参数配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭接口。
1.3 维护接口您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。
1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
接口分类接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业务接口和逻辑接口三类,其中:l管理接口管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设备,并进行配置和管理操作。
管理接口不承担业务传输。
关于管理接口的详细配置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。
设备支持的管理接口如表1-1所示:表1-1各管理接口介绍l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB接口。
V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。
l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。
光接口和电接口只能同时激活其中一个。
l物理业务接口物理业务接口是真实存在、有器件支持的接口。
物理接口需要承担业务传输。
物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。
设备支持的物理接口如表1-2所示。
表1-2物理接口缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使用undo portswitch命令将接口转换为三层模式。
l逻辑接口逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。
逻辑接口需要承担业务传输。
设备支持的逻辑接口如表1-3所示。
华为数据中心5800交换机01-08 攻击防范配置
8攻击防范配置关于本章攻击防范是一种重要的网络安全特性。
通过配置攻击防范功能,设备能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
8.1 攻击防范简介介绍攻击防范的定义和作用。
8.2 攻击防范原理描述介绍攻击防范的实现原理。
8.3 攻击防范应用场景介绍攻击防范的应用场景。
8.4 攻击防范配置注意事项介绍配置攻击防范的注意事项。
8.5 攻击防范缺省配置介绍了攻击防范的缺省配置。
8.6 配置畸形报文攻击防范畸形报文攻击防范主要防止没有IP载荷的泛洪攻击、IGMP空报文攻击、LAND攻击、Smurf攻击和TCP标志位非法攻击。
8.7 配置分片报文攻击防范分片报文攻击主要包括分片数量巨大攻击、巨大offset攻击、重复分片攻击、Tear Drop攻击、Syndrop攻击、NewTear攻击、Bonk攻击、Nesta攻击、Rose攻击、Fawx攻击、Ping of Death攻击和Jolt攻击。
8.8 配置泛洪攻击防范泛洪攻击防范主要防止TCP Syn泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。
8.9 清除攻击防范统计信息8.10 攻击防范配置举例介绍攻击防范的配置举例。
配置示例中包括组网图需求、配置思路、操作步骤等。
8.1 攻击防范简介介绍攻击防范的定义和作用。
定义攻击防范是一种重要的网络安全特性。
它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。
攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。
目的目前,网络的攻击日益增多,而通信协议本身的缺陷以及网络部署问题,导致网络攻击造成的影响越来越大。
特别是对网络设备的攻击,将会导致设备或者网络瘫痪等严重后果。
攻击防范针对上送CPU的不同类型攻击报文,采用丢弃或者限速的手段,以保障设备不受攻击的影响,使业务正常运行。
华为数据中心5800交换机01-01 堆叠配置
1.6 组建堆叠 介绍堆叠的组建过程。
1.7 堆叠组建后配置增强功能 介绍堆叠组建后的配置,用来增加堆叠系统的可靠性和易操作性。
1.8 维护堆叠 介绍堆叠的维护功能。
1.9 拆分堆叠 介绍拆分堆叠的相关操作。
1.10 配置举例 介绍堆叠配置举例,配置举例中包括组网需求、配置思路、配置过程等。
定义
堆叠iStack(Intelligent Stack)是指将多台交换机设备组合在一起,虚拟化成一台交换 设备,如图1-1所示。
图 1-1 堆叠示意图 iStack
iStack Link
Eth-Trunk
物理拓扑逻辑拓扑来自目的通过交换机堆叠,可以实现网络高可靠性和网络大数据量转发,同时简化网络管理。
1.2.2 堆叠建立
堆叠建立的过程包括以下四个阶段:
文档版本 07 (2017-09-12)
华为专有和保密信息
3
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-虚拟化
1 堆叠配置
1. 物理连接:根据网络需求,选择适当的连接拓扑,组建堆叠网络。
的配置。 l 备、从交换机的堆叠端口在主交换机上有Shutdown或与堆叠冲突的配置。 l 同一堆叠端口下的堆叠物理成员端口的类型不同。 l 所有堆叠物理成员端口被配置在不同的堆叠端口下。 上述冲突产生后,备、从交换机将无法与主交换机建立堆叠。用户需要修改主交换机 或备、从交换机上的配置,使其符合配置要求,然后再重新启动交换机。
l 备、从交换机将与主交换机的配置进行合并,合并的配置包括堆叠属性配置、堆 叠端口配置、端口拆分配置。如果主交换上有备、从交换机的离线配置,则以主 交换机配置为准。
华为数据中心5800交换机01-09 BGP配置
说明
如果在AS内一台BGP设备收到EBGP邻居发送的路由后,需要通过另一台BGP设备将该路 由传输给其他AS,此时推荐使用IBGP。
9.3 配置任务概览 完成BGP的基本功能配置,实现运行BGP协议的网络的基本通信功能。如果需要部署 其他BGP功能,还需要根据相应章节进行其他的配置。
9.4 缺省配置 介绍BGP的缺省配置,实际应用的配置可以基于缺省配置进行修改。
9.5 配置BGP的基本功能 配置BGP的基本功能是组建BGP网络的基础,是能够使用BGP其他功能的前提。
9.6 配置BGP安全性 通过配置BGP对等体的连接认证、配置BGP GTSM和配置RPKI功能,可以提高BGP网 络的安全性。
9.7 简化IBGP网络连接 为了简化IBGP网络连接,可以在IBGP网络中使用路由反射器和联盟。
9.8 配置BGP路由选路和负载分担 BGP具有很多路由属性,通过配置这些属性可以改变BGP的选路结果。
MP-BGP是对BGP-4进行了扩展,来达到在不同网络中应用的目的,BGP-4原有的消息 机制和路由机制并没有改变。MP-BGP在IPv6单播网络上的应用称为BGP4+,在IPv4组 播网络上的应用称为MBGP(Multicast BGP)。
目的
为方便管理规模不断扩大的网络,网络被分成了不同的自治系统。1982年,外部网关 协议EGP(Exterior Gateway Protocol)被用于实现在AS之间动态交换路由信息。但是 EGP设计得比较简单,只发布网络可达的路由信息,而不对路由信息进行优选,同时 也没有考虑环路避免等问题,很快就无法满足网络管理的要求。
华为数据中心5800交换机01-06 EFM配置
远端环回OAMPDU (Loopback Control OAMPDU)
用于远端环回,控制远端设备的OAM环回状态,根据 OAMPDU中使能和去使能环回功能的信息开启或关闭远端环 回功能。
连接模式
EFM的连接模式有两种:主动模式和被动模式。EFM连接只能由主动模式的OAM实体 发起,而被动模式的OAM实体只能等待对端OAM实体的连接请求。不同的连接模式对 OAMPDU的处理能力是不一样的。如表6-3所示。
文档版本 08 (2017-09-12)
华为专有和保密信息
278
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-可Байду номын сангаас性
6 EFM 配置
图 6-2 OAMPDU 报文格式
6
6
2
1
2
1
Destination addr Source addr Type Subtype Flags Code
图 6-1 EFM 示意图
Internet
核心层
EFM
汇聚层 接入层
如图6-1所示,EFM主要用于接入层和汇聚层之间链路的以太网物理层规范以及以太网 管理和维护,是链路级的OAM(Operation and Management)。针对两台直连设备之间 的链路,提供链路连通性检测功能、链路故障监控功能和远端环回功能。
2:收到OAMPDU 后,和自己的EFM 配置进行匹配比较
6:进入detect状态, 连接建立,双方发送 Information OAMPDU,维持连接
链路监控
EFM连接建立后,两端的OAM实体会以一定的时间间隔为周期发送Information OAMPDU来检测连接是否正常,该间隔被称为握手报文发送间隔。如果一端OAM实体 在连接超时时间内未收到对端OAM实体发来的Information OAMPDU,则认为OAM连 接中断。EFM连接建立后为用户提供了一种自动检测物理链路连通状况的手段。
华为数据中心5800交换机01-10 路由策略配置
l permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性 进行设置。
l deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点 都匹配失败,路由信息将被拒绝通过。
文档版本 06 (2017-09-12)
华为专有和保密信息
675
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10.1 路由策略简介
介绍路由策略的定义、由来和作用。
定义
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可 达性)来改变网络流量所经过的路径。
– 在RouterC上配置另外一个地址前缀列表,并且配置OSPF利用该地址前缀列 表作为RouterC的入口策略。
l 使用路由策略
– 在RouterA上配置路由策略(其中匹配条件可以是地址前缀列表、路由cost、 路由标记Tag等),并且配置OSPF利用该路由策略作为RouterA的出口策略。
– 在RouterC上配置另外一个路由策略,并且配置OSPF利用该路由策略作为 RouterC的入口策略。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10 路由策略配置
关于本章
路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。
华为数据中心5800交换机01-02 BFD配置
2.5 配置注意事项 介绍部署BFD的注意事项。
2.6 缺省配置 介绍BFD会话常见参数的缺省配置。
BFD。 3. BFD根据收到的邻居信息建立会话。
会话建立以后,BFD开始检测链路故障,并做出快速反应。
图 2-2 BFD 故障发现处理流程图
OSPF 3
4 OSPF neighbors
2
BFD neighbors 1
OSPF 3
SwitchA
SwitchB
如上图所示:
1. 被检测链路出现故障。 2. BFD快速检测到链路故障,BFD会话状态变为Down。 3. BFD通知本地OSPF进程BFD邻居不可达。 4. 本地OSPF进程中断OSPF邻居关系。
2.2 原理描述
介绍BFD的实现原理。
原理简介
BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用 服务。BFD本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建 立会话。会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到BFD 报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。下
3 BFD neighbors
OSPF 2
2 BFD 配置
SwitchA
SwitchB
上图所示是一个简单的网络组网,两台设备上同时配置了OSPF与BFD,BFD会话建立 过程如下所示:
1. OSPF通过自己的Hello机制发现邻居并建立连接。 2. OSPF在建立了新的邻居关系后,将邻居信息(包括目的地址和源地址等)通告给
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9端口安全配置关于本章9.1 简介介绍端口安全的定义和目的。
9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。
9.3 应用场景介绍端口安全常见的应用场景。
9.4 配置注意事项介绍端口安全的配置注意事项。
9.5 缺省配置介绍端口安全的缺省配置。
9.6 配置端口安全端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。
9.7 配置举例结合组网需求、配置思路来了解实际网络中端口安全的应用场景,并提供配置文件。
9.1 简介介绍端口安全的定义和目的。
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。
安全MAC地址的分类安全MAC地址分为:安全动态MAC与Sticky MAC。
表9-1安全MAC地址的说明l接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
l接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
l接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
l接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。
超过安全MAC地址限制数后的动作接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。
缺省情况下,保护动作是丢弃该报文并上报告警。
表9-2端口安全的保护动作9.3 应用场景介绍端口安全常见的应用场景。
端口安全经常使用在以下几种场景:l应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
l应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
接入层使用场景如图9-1,用户PC1和PC3通过IP Phone接入SwitchA设备,用户PC2直接接入设备SwitchA,为了保证接入设备安全性,防止非法用户攻击,可以在接入设备SwitchA的接口上配置端口安全功能。
图9-1端口安全使用在接入设备的组网场景PC1PC2PC3l如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。
这样可以在用户变动时,及时清除绑定的MAC地址表项。
l如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。
这样在保存配置重启后,绑定的MAC地址表项不会丢失。
汇聚层使用场景如图9-2,树状组网中,多个用户通过SwitchA和汇聚层设备Switch进行通信。
为了保证汇聚设备的安全性,控制接入用户的数量,可以在汇聚设备配置端口安全功能,同时指定安全MAC地址的限制数。
图9-2端口安全使用在汇聚层设备的组网场景9.4 配置注意事项介绍端口安全的配置注意事项。
涉及网元无需其他网元配合。
License支持端口安全特性是交换机的基本特性,无需获得License许可即可应用此功能。
版本支持表9-3支持本特性的最低软件版本特性依赖和限制l端口安全功能与MUX VLAN功能互斥,不能同时配置。
l不能在同一接口下配置端口安全功能与MAC地址学习限制功能。
9.5 缺省配置介绍端口安全的缺省配置。
表9-4端口安全的缺省配置9.6 配置端口安全端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。
前置任务在配置端口安全之前,需完成以下任务:l关闭基于接口的MAC地址学习限制功能。
l关闭配置MUX VLAN功能。
l关闭DHCP Snooping的MAC安全功能。
9.6.1 配置安全MAC功能背景信息在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。
这样可以阻止其他非信任的MAC主机通过本接口和其他主机通信,提高网络的安全性。
缺省情况下,安全动态MAC表项不会被老化,但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化,设备重启后安全动态MAC地址会丢失,需要重新学习。
操作步骤步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。
步骤3执行命令port-security enable,使能端口安全功能。
缺省情况下,未使能端口安全功能。
步骤4(可选)执行命令port-security maximum max-number,配置端口安全动态MAC学习限制数量。
缺省情况下,接口学习的安全MAC地址限制数量为1。
步骤5(可选)执行命令port-security protect-action { protect | restrict | error-down },配置端口安全保护动作。
缺省情况下,端口安全保护动作为restrict。
端口安全保护动作有以下三种:l protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。
l restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。
l error-down:当学习到的MAC地址数超过接口限制数时,将接口Error-Down,同时发出告警。
步骤6(可选)执行命令port-security aging-time time [ type { absolute | inactivity } ],配置接口学习到的安全动态MAC地址的老化时间。
缺省情况下,接口学习的安全动态MAC地址不老化。
步骤7执行命令commit,提交配置。
----结束后续处理配置端口安全保护动作为error-down后,如果接口安全MAC地址学习数量达到上限,接口将会被Error-Down。
Error-Down是指设备检测到故障后将接口状态设置为ERRORDOWN状态,此时接口不能收发报文,接口指示灯为常灭。
可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。
接口被Error-Down时,建议先排除引起接口Error-Down的原因。
有以下两种方式可以恢复接口状态:l手动恢复(Error-Down发生后)当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdown和undo shutdown,或者执行命令restart,重启接口。
l自动恢复(Error-Down发生前)如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。
为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause portsec-reachedlimit interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。
可以通过display error-down recovery查看接口状态自动恢复信息。
此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。
9.6.2 配置Sticky MAC功能背景信息在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。
这样可以阻止其他非信任的MAC主机通过本接口和其他主机通信,提高网络的安全性。
Sticky MAC不会被老化,保存配置后重启设备,Sticky MAC也不会丢失,无需重新学习。
操作步骤步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。
步骤3执行命令port-security enable,使能端口安全功能。
缺省情况下,未使能端口安全功能。
步骤4执行命令port-security mac-address sticky,使能接口Sticky MAC功能。
缺省情况下,接口未使能Sticky MAC功能。
步骤5(可选)执行命令port-security maximum max-number,配置接口Sticky MAC学习限制数量。
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
步骤6(可选)执行命令port-security protect-action { protect | restrict | error-down },配置端口安全保护动作。
缺省情况下,端口安全保护动作为restrict。
端口安全保护动作有以下三种:l protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。
l restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,同时发出告警。
l error-down:当学习到的MAC地址数超过接口限制数时,将接口Error-Down,同时发出告警。
步骤7(可选)执行命令port-security mac-address sticky mac-address vlan vlan-id,手动配置一条sticky-mac表项。
步骤8执行命令commit,提交配置。
----结束后续处理配置端口安全保护动作为error-down后,如果接口安全MAC地址学习数量达到上限,接口将会被Error-Down。
Error-Down是指设备检测到故障后将接口状态设置为ERRORDOWN状态,此时接口不能收发报文,接口指示灯为常灭。