在企业网络或校园网的建设中,接入层交换机常常是网络攻击的第一道“防线”。配置不当不仅会埋下网络隐患,还可能成为攻击者入侵的跳板。今天我就来和大家分享一下华为接入层交换机在安全配置方面最值得关注的五个关键点:广播风暴控制、防攻击机制、环路检测、接入用户数限制、端口隔离。本文结合实战经验,配套上配置命令,希望对你有帮助!
一、广播风暴控制:别让一台设备“吵翻天”
在二层网络中,如果广播、组播或未知单播泛滥,很容易导致广播风暴,影响整网性能。特别是在接入层的大量终端接入场景中,防范显得尤为关键。
💡方式一:基于百分比的风暴抑制
将接口的广播、组播、未知单播流量抑制在接口带宽的5%以内:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression 5
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression 5
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression 5
💡方式二:基于CIR字节速率精细化控制
如需更精细的控制,可以使用CIR进行抑制:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 100
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression cir 100
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression cir 100
100 表示 100 kbps,可根据业务实际场景进行调整。
二、防攻击配置:构建接入第一道“护城墙”
攻击防护是接入层的重头戏,以下几个子功能建议务必启用:
2.1 开启 DHCP Snooping,防伪冒服务器
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping trusted # 信任上行口
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping enable # 用户接口开启snooping
2.2 开启 IP 源检查 + 动态 ARP 检测,防伪造攻击
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable
搭配 DHCP Snooping 动态绑定表使用,可以精准识别伪冒终端。
2.3 配置 DHCP/ARP 报文限速,保护核心
创建 ACL 规则匹配 DHCP/ARP:
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule 5 permit udp destination-port eq bootps
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule 5 permit l2-protocol arp
配置上行口限速策略:
[HUAWEI] interface Eth-Trunk1
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 3001 cir 192 pir 192 cbs 24000 pbs 24000
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 4001 cir 32 pir 32 cbs 4000 pbs 4000
2.4 配置攻击溯源白名单
用于排除特定接口(如网关口):
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 2 interface gigabitethernet 1/0/1
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 2 interface gigabitethernet 1/0/1
三、环路检测:避免网络“无限套娃”
即使是简单的二层环路也能造成大面积网络瘫痪,建议在所有接入口启用环路检测:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] loopback-detect enable
设备将定时发送 Loopback 探测报文,自动识别环路。
四、限制接入用户数:堵住“交换机串联风”
为了防止宿舍/办公位私接交换机,建议配置用户数量限制。例如允许最多两个终端接入:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-limit maximum 2
实测对防止宿舍串接八口小交换机非常有效!
五、端口隔离:提升用户通信安全性
端口隔离可以有效防止终端之间私下通信(如网盘共享、病毒传播):
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable
建议在所有接入用户的接口启用此功能,除非明确业务需要(例如视频会议设备等)。
🔚结语
以上五个配置点虽然简单,但却是提升接入层安全性的重要“基石”。尤其在大规模终端场景下,任何一个小疏忽都有可能被攻击者利用,进而威胁整网安全。
你们在实际运维过程中,有没有踩过相关的坑?欢迎在评论区留言交流,也可以点赞收藏让更多人看到这篇文章,我们一起构建更安全的网络环境!🙌
免费备考资料分享
为了帮助更多考生高效备考,我根据自己的学习经验,整理了以下几个核心备考资料:
-
考试大纲:
覆盖HCIE笔试和实验考试的所有重点知识,帮助你精准掌握考试范围,避免盲目学习。 -
培训教材:
详细的理论知识和案例分析,包括OSPF、BGP、MPLS VPN等核心技术的深入解析,是夯实基础的不二之选。 -
实验手册:
实验考试配置命令速查手册和模拟实验案例集,涵盖路由协议、故障排查、组播配置等关键场景,助你在实验环节高效应对。
获取方式:
如果你需要这些备考资料,可以在评论区留言或者私信我,我会将资料打包发给你,希望对你的备考有所帮助!
扫一扫
8939
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
