安全设计

接入层作为园区网的边界，为用户提供各种接入方式，是PC终端、网络摄像机、打印机、IP电话、无线终端等设备接入网络的第一层，因此，满足各终端的接入要求是接入层的首要任务。同时，接入层也需要对网络提供保护，防止未经授权的用户和应用进入网络，因此，接入层需要在安全性和可用性方面提供适当的平衡。在接入交换机上部署的安全功能建议如下。

• 建议开启广播风暴控制

  当设备二层以太接口收到广播、组播或未知单播报文时，如果根据报文的目的MAC地址设备不能明确报文的出接口，设备会向同一VLAN内的其他二层以太接口转发这些报文，这样可能导致广播风暴，降低设备转发性能。在接入层下行接口，部署广播、组播、未知单播报文的抑制，可有效减少广播风暴。

• 建议开启DHCP Snooping， 接入交换机上行直接或间接连接DHCP服务器的接口配置成trust

  配置DHCP Snooping功能，可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口，信任接口正常转发接收到的DHCP报文，非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后，将丢弃该报文。

  直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口，其他接口设置为非信任接口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

• 建议开启IPSG和DAI

  在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况，导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能，可以防范上述情况的发生。IP源防攻击（IPSG）可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

  为了防御中间人攻击，避免合法用户的数据被中间人窃取，可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。

• 建议开启端口隔离

  建议在接入交换机连接终端的接口上配置端口隔离，加强用户通信安全，同时避免无效的广播报文影响用户业务。

  注意，Fabric接入管理中如果端口选择了“终端”连接类型，那么会自动在端口配置端口隔离功能。

WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改，如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。如图2-59所示，WLAN安全设计主要包括以下方面：

• 空口安全：如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
• 终端接入安全：确保用户接入无线网络的合法性和安全性。
• 业务安全：保证用户的业务数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获。

对于汇聚层的网络安全设计，如果汇聚交换机下挂了终端，相关的安全设计请参考接入层（接入交换机）；如果汇聚层作为用户网关或认证点，相关的安全设计请参考核心层。

核心交换机处于网络的关键位置，其设备自身的安全至关重要。当核心交换机作为集中认证点时，需要考虑CPU性能要能满足大量用户接入时的协议报文处理压力。当核心交换机作为用户网关时，需考虑其ARP安全。

为了保护CPU，保证CPU对正常业务的处理和响应，交换机提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文，主要用于保护设备自身安全，保证已有业务在发生攻击时的正常运转，避免设备遭受攻击时各业务的相互影响。

本机防攻击包括CPU防攻击、攻击溯源、端口防攻击和用户级限速四部分功能，交换机设备在缺省情况已使能。

• CPU防攻击

  CPU防攻击可以针对上送CPU的报文进行限制和约束，使单位时间内上送CPU报文的数量限制在一定范围之内，从而保护CPU的安全，保证CPU对业务的正常处理。

  CPU防攻击的核心部分是CPCAR（Control Plane Committed Access Rate）功能。CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速，来保护控制平面的安全。

• 攻击溯源

  攻击溯源可以针对DoS（Denial of Service）攻击进行防御。设备通过对上送CPU的报文进行分析统计，然后对统计的报文设置一定的阈值，将超过阈值的报文判定为攻击报文，再根据攻击报文信息找出攻击源用户或者攻击源接口，最后通过日志、告警等方式提醒管理员，以便管理员采用一定的措施来保护设备，或者直接丢弃攻击报文以对攻击源进行惩罚。

• 端口防攻击

  端口防攻击是针对DoS攻击的另一种防御方式。它基于端口维度进行防御，可以避免攻击端口的协议报文挤占带宽，导致其他报文丢弃。

  设备默认开启常见用户协议如ARP、ICMP、DHCP、IGMP的端口防攻击功能，在用户攻击发生时可以自动将攻击影响隔离到端口范围内，减少对其它端口的影响。

• 用户级限速

  用户级限速指的是基于用户MAC地址识别用户，然后对用户的特定协议报文（ARP/ND/DHCP Request/DHCPV6 Request/IGMP/8021x/HTTPS-SYN）进行限速，使得单个用户在受到DoS攻击的情况下，只影响本用户，不对其他用户带来影响。用户级限速的核心部分是HOST-CAR功能。缺省情况下，已经使能用户级限速功能。

当设备作为接入网关时，设备会收到大量请求本机接口MAC地址的ARP请求报文。如果全部将ARP请求报文上送主控板CPU处理，将会导致CPU使用率过高，影响CPU对正常业务的处理。

为了避免上述危害，可以使能ARP优化应答功能。使能该功能后，对于目的IP地址是本设备接口IP地址的ARP请求报文，接口板直接回复ARP应答，从而可以提高设备防御ARP泛洪攻击的能力。该功能适用于框式交换机设备上安装了多块接口板或盒式交换机堆叠场景。

缺省情况下，ARP优化应答功能处于使能状态，请不要关闭。