Huawei port security настройка

Обновлено: 06.07.2024

Как предотвратить несанкционированное подключение компьютеров к сети предприятия?

Port Security это функция второго уровня, которая позволяет указать MAC адреса хостов, которым разрешено передавать данные через порт. Используется для предотвращения:

1. Несанционированной смены MAC -адреса сетевого устройства или подключения к сети.

2. Атак направленных на переполнение таблицы коммутации.

После активации, порт не будет передавать пакеты, если MAC -адрес отправителя не указан как разрешенный. Любой MAC адрес, который не был указан при настройке функции, заставит порт войти в одно из следующих состояний:

· Protect – при достижении максимального числа настроенных на порту MAC -адресов, пакеты с неизвестным MAC -адресом отправителя будут отбрасываться.

· Restrict – при достижении максимального числа настроенных на порту MAC -адресов, пакеты с неизвестным MAC -адресом отправителя будут отбрасываться. Также отправляется SNMP оповещение .

Настройка port security

Перейдем к настройке функции port security и посмотрим как она работает:

interface GigabitEthernet 0/0/1
port link-type access
port-security enable

Теперь посмотрим, что случится, когда PC с другим MAC адресом присоединится к этому же порту:

May 17 2019 10:31:42-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.6 The number of MAC address on interface (28/28) GigabitEthernet0/0/1 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3:shutdown)
[Huawei-GigabitEthernet0/0/1] port-security protect-action ?
protect Discard packets
restrict Discard packets and warning
shutdown shutdown

Важно помнить, что этот безопасный MAC адрес, который был запомнен, хранится в памяти коммутатора и будет там до перезагрузки коммутатора. Чтобы избежать потери, мы можем настроить функцию MAC address sticky . Тогда коммутатор будет сохранять MAC адреса в конфигурационный файл.

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

Также, для запоминания можно вручную задать необходимый MAC адрес . Данную опцию можно использовать, если PC не присоединен к порту коммутатора и его MAC адрес ещё не был получен:

Если мы хотим на одном порту использовать несколько устройств, то мы можем воспользоваться следующей командой:

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2

Теперь мы можем добавить второй безопасный MAC адрес:

Ещё одна опция Port Security это время хранения адресов. По умолчанию, каждый MAC адрес хранится в памяти устройства неограниченное время. Задать время хранения адресов можно при помощи следующей команды:

При добавлении записей в таблицу MAC-адресов порт, указанный параметром интерфейса в команде, должен принадлежать к VLAN, указанной параметром vlan, в противном случае добавление не будет выполнено.
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
② Добавить запись в таблицу MAC-адресов в представлении порта Ethernet.

При добавлении записи в таблицу MAC-адресов текущий порт должен принадлежать VLAN, указанной параметром vlan в команде, в противном случае добавление завершится неудачно;
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.

Примечание: По умолчанию время устаревания записей таблицы MAC-адресов составляет 300 секунд.Если используется параметр no-ageing, это означает, что записи таблицы MAC-адресов не будут устаревать.
③ Конфигурация времени устаревания MAC-адреса действует для всех портов, но функция устаревания адреса работает только с динамическими (изученными или настраиваемыми пользователем) записями MAC-адресов.

Примечание. По умолчанию нет ограничений на количество MAC-адресов, полученных портом. И наоборот, если для порта включены функции аутентификации MAC-адреса и безопасности порта, вы не можете настроить максимальное количество MAC-адресов, полученных для порта.

10. Конфигурация GVRP.

11. Конфигурация DLDP.

① Когда оптоволокно перекрестно, два или три порта могут находиться в отключенном состоянии, а остальные порты находятся в неактивном состоянии.
② Когда один конец оптического волокна подключен правильно, а другой конец не подключен:
Если рабочий режим DLDP нормальный, то конечный приемный световой сигнал находится в состоянии объявления, а конечный, не получающий световой сигнал, находится в неактивном состоянии.
Если рабочий режим DLDP является улучшенным, индикатор на конце приема находится в состоянии «Отключено», а конец, не получающий свет, находится в состоянии «Неактивно».
③ Команда dldp reset может сбросить статус DLDP всех портов в глобальном масштабе, а также может повторно зарядить статус DLDP порта под интерфейсом.

12. Конфигурация изоляции порта.
① С помощью функции изоляции портов пользователи могут добавлять порты, которыми необходимо управлять, в группу изоляции, чтобы реализовать изоляцию данных второго и третьего уровня между портами в группе изоляции, что улучшает Для повышения безопасности сети он также предоставляет пользователям гибкое сетевое решение.

② После настройки группы изоляции не могут обмениваться данными только пакеты между портами в группе изоляции.Связь между портами в группе изоляции и портами за пределами группы изоляции не будет затронута.
③ Функция изоляции порта не имеет ничего общего с VLAN, к которой принадлежит порт Ethernet.
④ Когда порт в группе агрегации присоединяется к группе изоляции или покидает ее, другие порты в той же группе агрегации на этом устройстве автоматически присоединяются или покидают группу изоляции.
⑤ Для группы портов, которые одновременно входят в группу агрегации и группу изоляции, когда один из портов покидает группу агрегации, другие порты не будут затронуты, то есть другие порты останутся в исходном состоянии. В группе агрегации и исходной группе изоляции.
⑥ Если порты в группе агрегации принадлежат к группе изоляции одновременно, когда группа агрегации удаляется непосредственно в системном представлении, порты в группе агрегации по-прежнему будут в группе изоляции в.
⑦ Когда порт в группе изоляции присоединяется к группе агрегации, все порты в группе агрегации автоматически добавляются в группу изоляции.

13. Конфигурация безопасности порта.

Привяжите MAC-адрес и IP-адрес узла 1 к порту Ethernet1 / 0/1.
Конфигурация привязки на некоторых переключателях отличается

② Включите переключатель отладочной информации функции BFD на Qw_A.

③ На Qw_A вы можете включить переключатель отладочной информации функции BFD, отключить связь между Hub и Qw_B и проверить результат конфигурации. Результат проверки показывает, что
④ Qw_A может быстро определить изменение связи между Qw_A и Qw_B.

Инкапсулируйте пакеты из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

Инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Настройте базовую функцию QinQ порта для инкапсуляции пакетов из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

Настройте базовую функцию QinQ порта и инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Здравствуйте.
Не подскажите имеется ли на оборудовании mes2124, mes2324 аналогичная функция Huawei'вской:
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
Т.е. нам необходимо следующее, сперва все порты пользователей настраиваются на привязку по одному МАК адресу
и далее по мере подключения патч-кордов от ПЭВМ коммутатор сам привязывает первый появившейся МАК адрес к этому порту.

А на Eltex такого уже не получается, или мы что то делаем не так подскажите.
На Eltex у нас получается следующее, при включении этой функции ПЭВМ уже должна быть подключена к порту коммутатора и работать, в этом случаи все привязывается ОК, а вот если ПЭВМ была выключена и в это время включить эту функцию, то после включения ПЭВМ, этот порт уже не привязывается к МАК адресу этой ПЭВМ.
Как будто обучение МАК адресов происходит только в момент включения функции port-security.

За ранее спасибо.

Выберите один из этих вариантов настройки в зависимости от целей.

Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, не удаляет адреса после перезагрузки
port security mode secure permanent
port security max 3
port security discard trap 300

Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, удаляет адреса после перезагрузки
port security mode delete-on-reset
port security max 3
port security discard trap 300

Может я что то делаю не так?

errdisable recovery interval interval 60
errdisable recovery cause port-security

port security mode secure permanent
port security discard-shutdown

Настройки
Port status Learning Action Maximum Trap Frequency
--------- --------- ------------ ----------- --------- -------- ----------
gi1/0/1 Enabled Secure Discard, Shutdown 1 Disabled -
permanent

включаем первую ПЭВМ в порт, пинги идут.
Подключаем тот же порт другую ПЭВМ, пингов нет, счетчик принятых пакетов 0.
Смотрим статус портов

ck Mdix
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pres
sure Mode Port Mode (VLAN)
-------- ------------ ------ ----- -------- ---- ----------- ------------- ----
---- ------- ------------------------
gi1/0/1 1G-Copper Full 1000 Enabled Off Up 00,00:01:25 Disa
bled On Access (1)

Подключаем первую ПЭВМ обратно, все восстонавливается пинги снова идут.

При появлении левого мак адреса на порту порт почему то не отключается.

Пробовал с новой прошивкой 4.0.10.1 на коммутаторе MES2324, тоже самое.

errdisable recovery interval interval 60
errdisable recovery cause port-security
!
interface gigabitethernet1/0/14
port security mode secure permanent
port security discard-shutdown trap 10

На порту стоит лимит в 1 MAC-адрес. Подключил ПК. MAC обучился.
sh mac address-table
Flags: I - Internal usage VLAN
Aging time is 300 sec

Vlan Mac Address Port Type
------------ --------------------- ---------- ----------
1 18:31:bf:0d:e4:9c gi1/0/14 secure
1 a8:f9:4b:2f:17:00 0 self


В этот раз мы постараемся выполнить следующие задачи:

  1. Создание БД VLAN
  2. Протокол обнаружения соседей
  3. Настройка управляющего VLAN
  4. Настройка портов доступа и магистральных
  5. Распространение информации о VLAN на все коммутаторы
  6. Настройка порт-секьюрити
  7. Настройка голосовогоVLAN
  8. Настройка STP

На помощь нам придут мануалы, доступные для просмотра и скачивания здесь:

Дальнейшие эксперименты будем проводить в нашей системе удаленного доступа к оборудованию TermILab. Эта статья будет посвящена коммутации. Давайте посмотрим, как же на коммутаторах Huawei создаются VLAN, как они распространяются между коммутаторами, как настраиваются порты для подключения рабочих станций, IP телефонов и создаются магистральные соединения, а также механизмы обеспечения безопасности на уровне доступа и борьба с петлями на 2 уровне.

Первоначальную настройку устройств Hyawei мы уже приводили в первой статье. Поэтому, вопросы, как настроить пароли, баннеры и удаленное взаимодействие с устройствами по протоколу telnet в этой статье не рассматриваются.

Местами сравнение будем проводить с коммутаторами Cisco 3550.

Итак, начнем. Для начала убедимся, что все устройства соединены правильно. На коммутаторах Cisco для этого используем возможности протокола cdp. А как быть с коммутаторами Huawei? Обращаемся к документации. В файле 29-ClusterCommand нашли возможность определения соседей и предоставления информации о них по протоколу ndp (Neighbor discovery protocol).

Устройство Huawei
Устройство Cisco

Выводимая информация протокола NDP примерно такая же как, как и у CDP. Только у CDP есть еще возможность отобразить информацию кратко и полностью. По умолчанию оба протокола активны на своих коммутаторах. Каждый из них можно отключить как полностью на устройствах, так и на каждом интерфейсе в отдельности. Итак, основываясь на выводе протоколов обнаружения соседних устройств, мы можем понять, что схема соединений корректна.

Идем дальше. Современные локальные сети немыслимы без виртуализации на канальном уровне. Поэтому, приступим к созданию VLAN. Создадим VLAN5 – Staff, VLAN8 – Test, VLAN10 – Native.

Настраиваем БД VLAN на одном коммутаторе Huawei и Cisco. На коммутаторе Huawei переходим в режим system-view, а на коммутаторе Ciscoв -- режим configure-terminal. Для наполнения БД VLAN этих режимах конфигурации вводим следующие последовательности команд:

Устройство Huawei
Устройство Cisco

Чтобы посмотреть созданные VLAN используем следующие команды:

Устройство Huawei Устройство Cisco

Коммутатор Cisco предоставляет более детальную информацию о том какие идентификаторы и имена VLAN существуют, какие порты коммутатора в каком VLAN находятся и некоторая другая информация. На коммутаторах Huawei вывод достаточно скуп. Только общее число VLAN и их идентификаторы. А как быть, если нужно увидеть и vid и его имя и уж, тем более, порты? Ставим ? после display vlan и выбираем параметр all на коммутаторе Huawei.

Устройство Huawei

Теперь информации побольше. И vid, и его имя. И что самое главное – порты, которые находятся в этой VLAN. Глаз зацепился за параметр Description в выводе VLAN. Этот избыточный параметр позволяет сделать еще и дополнительное описание для VLAN, в котором можно отразить более детально ее принадлежность.

Для поддержания данных о vlan в домене на каждом устройстве работают GARP таймеры. Их 4 типа: hold, join, leave и leaveall. Таймеры измеряются в сентисекундах (100 сентисекунд соответствуют 1 секунде) и по умолчанию равны:

GARP join 20 centiseconds

GARP leave 60 centiseconds

GARP hold 10 centiseconds

GARP leaveall 20 centiseconds

Важно, чтобы внутри домена все устройства были настроены с одинаковыми таймерами.

Возвращаясь к GVRP, необходимо отметить, что протокол включается глобально и на интерфейсах (по умолчанию выключен), причем интерфейс обязательно должен работать в режиме trunk. Последовательность действий следующая:

  1. Включить GVRP глобально.
  2. *Опционально. Проверить или настроитьGARP таймеры одинаково на всех коммутаторах домена.
  3. Настроить необходимые порты в режиме trunk 802.1Q.
  4. Разрешить на транках все vlan.
  5. Включить GVRP на интерфейсах.
  6. Выбрать режим работы GVRP на интерфейсе.

GVRP на интерфейсах может работать в трех режимах:

  1. Normal. Этот режим выбирается интерфейсом по умолчанию. В таком режиме коммутатор распространяет информацию о своих vlan и автоматически добавляет информацию о vlan в свою базу от других коммутаторов домена.
  2. Fixed. В данном режиме коммутатор распространяет информацию о своих vlan, однако не добавляет в свою базу информацию о vlan соседних устройств. Данный режим подходит для коммутаторов уровня ядра и распределения, поскольку никакие устройства уровня доступа не могут повлиять на их базу vlan. Если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим fixed, то все vlan, о которых коммутатор узнал через этот порт будут удалены.
  3. Forbidden. В данном режиме коммутатор не распространяет информацию о своих vlan и не принимает информацию о vlan от других устройств. Более того, если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим forbidden, то все vlan, о которых коммутатор узнал через этот порт будут удалены, а также на соседнем коммутаторе будут удалены все записи о vlan, настроенных вручную на forbidden-коммутаторе.

Теперь посмотрим, как настраивать trunk-порты. Основные задачи здесь – это включить на порту режим trunk; описать vlan’ы, которые можно через него пропускать; и задать vlan, с которым ассоциировать нетегированные кадры (аналог cisco native vlan).

Перейдем к командам. Режим trunk влючается на интерфейсе командой port link-type trunk. Разрешенные vlan’ы описываются командой port trunk permit vlan vlan-id. Vlan по умолчанию настраивается командой port trunk pvid vlan vlan-id. Инкапсуляция на транках по умолчанию 802.1Q, и другого режима инкапсуляции не предусмотрено.

Пример, как настроить trunk-порт на нашем коммутаторе:


На коммутаторах Huawei можно перечислить только определенные vid через пробел, либо указать их диапазон используя связку <vid_1> to <vid_n>. На коммутаторах Cisco это делается через запятую, а диапазон указывается через тире.

Вернемся к проблеме распространения БД vlan между коммутаторами. Несмотря на всю кажущуюся сложность, настроить GVRP достаточно легко. К 24 порту нашего коммутатора подключим второй коммутатор Quidway S3928P-SI, на котором по умолчанию есть только 1 vlan. Для начала настроим на нем транк и разрешим в транке все vlan’ы.

Теперь на обоих коммутаторах запустим GVRP, включим его на trunk-итерфейсах, и выберем режим на первом коммутаторе Normal, а на втором Fixed.

Посмотрим на вывод команды display vlan на каждом коммутаторе.

Кажется, что ничего не изменилось, и появляются сомнения, что GVRP вообще работает корректно. Однако вывод команды display garp statistics показывает, что GVRP запущен и работает между коммутаторами.

Теперь создадим на коммутаторе LabSW_2 пару дополнительных vlan’ов и посмотрим на изменения базы vlan коммутатора LabSW.

Как мы видим, коммутатор LabSw добавил в свою базу новые vlan’ы (50 и 70), созданные на LabSw_2. В свою очередь, коммутатор LabSw_2 так и ведет свою локальную базу vlan независимо от соседа. Таким образом, мы не только настроили протокол GVRP на соседних коммутаторах, но и проверили сразу 2 режима работы: normal и fixed.

Теперь можно переходить к настройке портов доступа и управляющего интерфейса. Распределим их следующим образом: 10 порт поместим в 10 vlan и сделаем его управляющим на коммутаторе, порты с 11 по 15 переведем в режим доступа в 5 vlan.

Чтобы исключить macflood и обеспечить элементарную безопасность на уровне доступа, сразу разрешим только по одному mac адресу для каждого порта доступа. На коммутаторе Huawei нужно в режиме system-view включить механизм port-security, а затем настроить его на каждом порту.

Устройство Huawei Устройство Cisco

К сожалению, на коммутаторах Huawei нельзя сразу настроить диапазон портов. Однако есть возможность скопировать настройки одного порта на другие. Сделаем это:

Просмотрим полученную конфигурацию одного из портов:

Устройство Huawei Устройство Cisco

Теперь поместим порты в необходимые vlan’ы и настроим управляющий интерфейс:

*Диапазон портов можно добавить в определенный vlan из режима настройки данного влана.

Проверим доступен ли нам управляющий интерфейс коммутатора, используя команду ping:


Современные Enterprise сети являются конвергентными, поэтому использование в них IP телефонии стало стандартом де-факто. Как известно, трафик IP телефонии необходимо отделить от трафика передачи данных, да к тому же нужно экономить порты на коммутаторах. Так как же создать голосовой VLAN на коммутаторах и подать его на нужные порты? По сути, голосовой VLAN создается точно также в БД VLAN как и VLAN для передачи данных. В качестве голосового будем использовать vlan 8.

Vlan создан, теперь устройству необходимо сообщить, какой vlan использовать в качестве голосового. Команда voice vlan vlan-id enable настраивает определенный vlan в качестве голосового и включает его глобально на устройстве. Узнать в дальнейшем, какой vlan является голосовым на устройстве, можно с помощью display voice vlan status. Для того, чтобы коммутатор добавлял к кадрам телефонов тег голосового vlan’а необходимо еще завести на устройстве OUI list мак-адресов. Мак-адреса наших телефонов выглядят так: 000d.28xx.xxxx. OUI list для них описывается командой [LabSw]voice vlan mac-address 000d-2800-0000 mask ffff-ff00-0000 description IPphone.

Теперь можно перейти к настройке портов.

Как стало понятно из мануалов, чтобы осуществить задуманное, нужно перевести порты в режим Hybrid. Работает он достаточно интересно. В нашем случае необходимо, чтобы коммутатор не только добавлял тег к нетегированным кадрам, поступающим от рабочих станций, но и сбрасывал тег vlan’а в обратном случае, когда кадры нужно передать с порта на рабочие станции. Что касается голосового vlan’a, то его достаточно просто включить на выбранном интерфейсе.

Настроим коммутатор таким образом, чтобы порты с 1 по 9 были настроены для поддержки телефонов на 8 vlan и для пользователей на 5 vlan.

Выполняем задуманное и настраиваем один из интерфейсов:

Посмотрим, что получилось:


Как мы уже отмечали, на коммутаторах Huawei нельзя сразу настроить диапазон портов, зато можно скопировать настройки одного порта на другие. Сделаем это:

Теперь порты с 1 по 9 настроены для работы и рядовых пользователей, и ip-телефонов.

Стремясь обеспечить надежность сети, многие сетевые инженеры и администраторы искусственно вводят избыточные связи, которые ведут к образованию петель на канальном уровне. Также петли могут образоваться и из-за ошибочных или злонамеренных действий пользователей. Чтобы их ликвидировать производители в свои коммутаторы внедряют алгоритм STP. Соединим избыточной связью коммутаторы LabSW и LabSw_2, чтобы создать петлю. Осталось только узнать, какие протоколы STP поддерживаются на коммутаторах Huawei, и как они настраиваются. Нажав символ ? после команды stp, можно увидеть эти протоколы. Будем настраивать на нашем коммутаторе протокол RSTP (по умолчанию stp выключен глобально).

Посмотрим на выводы команды display stp brief и display stp, чтобы определить какие порты заблокировал stp, и кто их коммутаторов стал root’ом :

Как мы видим, протокол запустился. Root’ом стал LabSw, так как его BridgeID 32768.000f-e274-cafe меньше чем у соседнего LabSw_2 (BridgeID 32768.000f-e275-98d8). На это косвенно указывает и то, что все порты LabSw работают в режиме designated. На коммутаторе LabSw_2 порт Ethernet 1/0/24 попал в режим alternative, т.е. не пересылает кадры. Это нас не утраивает, потому что через этот порт работает GVRP, который мы ранее настроили. Заставим коммутатор LabSw_2 заблокировать порт Ethernet 1/0/23, а 1/0/24 перевести в режим designated. Сделать это можно, поменяв cost на интерфейсе. По умолчанию все порты коммутатора имеют cost 200. Чем меньше это значение, тем приоритетнее порт. Поменяем это значение на 20 и посмотрим на результат:

Поставленной цели мы добились, и теперь наша связка коммутаторов работает должным образом.

Читайте также: