二层网络安全你知道多少( 二 ) _小知识

交换机提供了两种安全方法：一是基于不同维度进行流量抑制，二是通过风暴控制阻塞端口或Error-Down端口。
流量抑制流量抑制可以从下面3个维度进行抑制：
1、基于接口进行流量限制
在接口的入方向上，分别对三类报文按百分比、包速率和比特速率进行流量抑制。
2、基于VLAN进行流量限制
对某个VLAN的上行流量，分别对三类报文按比特速率进行流量抑制。
3、基于接口进行流量阻塞
在接口的出方向上，阻塞这三类报文的转发。
这些功能又该怎么应用呢？我们从下图拓扑看一下应用场景和配置方法。

文章插图

SwitchA是汇聚层交换机，通过接口GE0/0/1接入网络的用户属于两个VLAN，VLAN 10和 VLAN 20；通过接口GE0/0/2接入网络的用户属于VLAN 30；通过接口GE0/0/3接入网络只有一个固定的用户，该用户对安全要求较高，不希望收到广播、未知组播以及未知单播报文。
配置思路：

接口GE0/0/1下的用户属于不同的VLAN域，可以针对不同的VLAN分别进行流量抑制。
接口GE0/0/2下的用户属于同一个VLAN，可以直接针对该接口进行流量抑制。
接口GE0/0/3下的用户对安全要求较高，基于接口阻塞广播、未知组播以及未知单播报文的流量

配置方法：
基于VLAN配置流量抑制，限制每个VLAN广播、未知组播以及未知单播报文的流量。
[SwitchA] qos car qoscar1 cir 1000 //配置Qos模板，承诺速率是1000kbit/s[SwitchA] vlan 10[SwitchA-vlan10] broadcast-suppression qoscar1 //在VLAN视图下应用该模板，对广播报文进行抑制，承诺速率是1000kbit/s[SwitchA-vlan10] multicast-suppression qoscar1 //在VLAN视图下应用该模板，对未知组播的抑制，承诺速率是1000kbit/s[SwitchA-vlan10] unicast-suppression qoscar1 //在VLAN视图下应用该模板，对未知单播的抑制，承诺速率是1000kbit/基于接口配置流量抑制，限制该接口广播、未知组播以及未知单播报文的流量。
[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] broadcast-suppression 5 //广播报文速率最多占接口速率的5%[SwitchA-GigabitEthernet0/0/2] multicast-suppression 5 //未知组播报文速率最多占接口速率的5%[SwitchA-GigabitEthernet0/0/2] unicast-suppression 5 //未知单播报文速率最多占接口速率的5%说明：基于接口的流量抑制，有三种配置方式：可以基于百分比，包速率和比特速率分别抑制
基于接口阻塞广播、未知组播以及未知单播报文的流量
[SwitchA] interface gigabitethernet 0/0/3[SwitchA-GigabitEthernet0/0/3] broadcast-suppression block outbound //阻塞广播报文[SwitchA-GigabitEthernet0/0/3] multicast-suppression block outbound //阻塞未知组播报文[SwitchA-GigabitEthernet0/0/3] unicast-suppression block outbound //阻塞未知单播报文风暴控制风暴控制不仅可以通过设置速率控制广播、未知组播以及未知单播报文，还可以在速率超过设置阈值时对接口执行惩罚动作。
1、阻塞端口：

当一个检测周期内，接口上这三类报文中任意报文的平均速率大于指定的最大阈值时，接口就会被阻塞。
当一个检测周期内，接口上这三类报文中任意报文的平均速率小于指定的最小阈值时，接口就会放开阻塞。

2、 Error-Down端口：

当一个检测周期内，接口上这三类报文中任意报文的平均速率大于指定的最大阈值时，接口就会被Error-Down 。
缺省情况下，被Error-Down的接口不会自动恢复，需要手动执行restart命令进行恢复。
如果在接口被Error-Down之前配置了自动恢复时间，到达时间后接口就会自动恢复。

配置方法：
[SwitchA] error-down auto-recovery cause storm-control interval 20 //如果接口被风暴控制error down，20秒后接口自动恢复[SwitchA] interface gigabitethernet 0/0/5[SwitchA-GigabitEthernet0/0/5] storm-control broadcast min-rate 1000 max-rate 2000 //广播报文执行惩罚动作的阈值[SwitchA-GigabitEthernet0/0/5] storm-control action error-down //风暴控制的惩罚动作是error down[SwitchA-GigabitEthernet0/0/5] quit [SwitchA] interface gigabitethernet 0/0/6[SwitchA-GigabitEthernet0/0/6] storm-control multicast min-rate percent 5 max-rate percent 20 //未知组播报文执行惩罚动作的阈值[SwitchA-GigabitEthernet0/0/6] storm-control action block //风暴控制的惩罚动作是阻塞端口
【二层网络安全你知道多少】