所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置ND Snooping功能示例

配置ND Snooping功能示例

组网需求

图9-3所示,企业某部门使用Switch作为用户主机连接网关的设备。网络中未部署DHCPv6服务器,该部门主机只能通过无状态地址自动配置方式获取IPv6地址。如果有攻击者发送非法的NA/NS/RS/RA报文,将会存在合法用户主机无法获取IPv6地址、通信过程中断、用户帐号口令被盗用等一系列安全隐患。

为了预防这种情况,管理员希望通过在Switch上进行配置,对非法的NA/NS/RS/RA进行有效防范,为合法用户提供更安全的网络环境和更稳定的网络服务,并且希望能够掌握网关分配给用户的网络前缀信息,从而可以灵活管理接入用户的IPv6地址。

图9-3  配置ND Snooping功能示例组网图

配置思路

采用如下的思路在Switch上进行配置:

  1. 使能ND Snooping功能,以便生成地址、VLAN和接口的绑定关系表,用于后续的ND报文合法性检查。
  2. 将连接网关的接口配置为ND Snooping信任接口,以便Switch可以根据从信任接口收到的RA报文生成前缀管理表,实现对接入用户地址的灵活管理。

    连接用户侧的接口缺省为ND Snooping非信任接口,Switch会自动过滤非信任接口收到的RA报文。

  3. 使能ND协议报文合法性检查功能,使Switch根据绑定关系表对NA/NS/RS报文进行合法性检查,过滤非法NA/NS/RS报文。
  4. 配置自动探测ND Snooping动态绑定表项对应用户的在线状态功能,保证ND用户下线时对应的ND Snooping动态绑定表项能够及时被删除,避免占用绑定表资源。
  5. 配置接口允许学习ND Snooping动态绑定表项的最大个数,防止在配置ND Snooping功能后,由于某一接口下有大量用户上线,Switch处理大量的NS报文会导致绑定表资源被耗尽,造成其他用户无法正常通信。

操作步骤

  1. 创建VLAN并配置各接口

    # 在Switch上创建VLAN10。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 10
    

    # 将接口GE0/0/1、GE0/0/2、GE0/0/3加入到VLAN10中。

    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type access
    [Switch-GigabitEthernet0/0/1] port default vlan 10
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access
    [Switch-GigabitEthernet0/0/2] port default vlan 10
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type trunk
    [Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet0/0/3] quit
    

  2. 使能ND Snooping功能

    # 全局使能ND Snooping功能。

    [Switch] nd snooping enable

    # 在VLAN10内使能ND Snooping功能。

    [Switch] vlan 10
    [Switch-vlan10] nd snooping enable
    [Switch-vlan10] quit

  3. 配置接口GE0/0/3为ND Snooping信任接口

    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] nd snooping trusted
    [Switch-GigabitEthernet0/0/3] quit

  4. 使能ND协议报文合法性检查功能

    [Switch] vlan 10
    [Switch-vlan10] nd snooping check ns enable
    [Switch-vlan10] nd snooping check na enable
    [Switch-vlan10] nd snooping check rs enable
    [Switch-vlan10] quit

  5. 配置自动探测ND Snooping动态绑定表项对应用户的在线状态功能

    # 使能自动探测ND Snooping动态绑定表项对应用户的在线状态功能,并配置发送NS探测报文的探测次数和探测时间间隔。

    [Switch] nd user-bind detect enable
    [Switch] nd user-bind detect retransmit 5 interval 600
    

  6. 配置接口允许学习ND Snooping动态绑定表项的最大个数

    [Switch] nd snooping max-user-number 200

  7. 验证配置结果

    在系统视图下执行命令display this可以看到全局下已经使能了ND Snooping功能和自动探测ND Snooping动态绑定表项对应用户的在线状态功能,并配置了接口允许学习ND Snooping动态绑定表项的最大个数

    [Switch] display this
    ......
     nd snooping enable
     nd user-bind detect enable
     nd user-bind detect retransmit 5 interval 600
     nd snooping max-user-number 200     
    ......
    

    在VLAN视图下执行命令display this可以看到VLAN10下已经使能了ND Snooping功能和ND协议报文合法性检查功能

    [Switch] vlan 10
    [Switch-vlan10] display this
    #                                                                               
    vlan 10                                                                         
     nd snooping enable                                                             
     nd snooping check ns enable                                                    
     nd snooping check na enable 
     nd snooping check rs enable 
    #                                                                               
    return   
    [Switch-vlan10] quit
    

    在接口视图下执行命令display this可以看到接口GE0/0/3已经配置为信任接口。

    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] display this
    #                                                                               
    interface GigabitEthernet0/0/3                                                  
     port link-type trunk                                                           
     port trunk allow-pass vlan 10 
     nd snooping trusted
    #                                                                               
    return 
    [Switch-GigabitEthernet0/0/3] quit
    [Switch] quit

    执行命令display nd snooping prefix可以查看ND用户的前缀管理表。

    <Switch> display nd snooping prefix
    prefix-table:                                                                   
    Prefix                             Length   Valid-Time  Preferred-Time          
    --------------------------------------------------------------------------------
    FC00:1::                           64       100000      100000                  
    --------------------------------------------------------------------------------
    Prefix table total count:      1                       

    执行命令display nd snooping user-bind all可以查看ND Snooping动态绑定表。

    <Switch> display nd snooping user-bind all
    ND Dynamic Bind-table:                                                          
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                              
    IP Address                      MAC Address     VSI/VLAN(O/I/P) Lease           
    --------------------------------------------------------------------------------
    FC00:1::E58C:A2E7:AA4C:8E59     00e0-4c7c-af8f  10  /--  /--    2011.05.06-20:09
    --------------------------------------------------------------------------------
    print count:           1          total count:           1          

    如果Switch上生成了前缀管理表和ND Snooping动态绑定表,则说明ND Snooping功能已配置成功。

配置文件

Switch的配置文件

#
sysname Switch
#                                                                               
vlan batch 10
#
nd snooping enable
nd user-bind detect enable
nd user-bind detect retransmit 5 interval 600
nd snooping max-user-number 200
#
vlan 10                                                                         
 nd snooping enable                                                             
 nd snooping check ns enable                                                    
 nd snooping check na enable 
 nd snooping check rs enable 
# 
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#   
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type trunk                                                           
 port trunk allow-pass vlan 10                                                   
 nd snooping trusted                                                            
#
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33480

下载量:966

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页