锐捷交换机——安全功能:NFPP

这篇具有很好参考价值的文章主要介绍了锐捷交换机——安全功能:NFPP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Ⅰ  NFPP应用场景和功能介绍

Ⅱ  NFPP配置案例


 

Ⅰ  NFPP应用场景和功能介绍

应用场景:

      NFPP作为保护交换机自身CPU不受攻击,不能替代防范ARP欺骗相关的安全功能,设备缺省支持并打开NFPP,建议保留开启并适当调整。

      调整原则:

       1、在接入设备上,通常无需调整,因为非网关设备,没有配置网关IP地址也不会运行一些复杂路由,管理协议等,无需额外消耗CPU,所以很少会遭受攻击。

2、在汇聚设备上,默认的基于端口的限速100PPS/攻击200 PPS阈值偏小,当端口下用户较多,ARP攻击较多时,可能导致用户正常的ARP报文丢弃,导致用户端丢包,需要放大。经验值调整为每端口限速500PPS/攻击800PPS较为合理,其他基于IP/MAC的限速攻击检测无需调整。

3、隔离功能通常不建议开启,在汇聚设备上如果用户攻击非常频繁,导致设备CPU80%-90%以上,此时可以考虑进行硬件隔离,并放大当前攻击的检测阈值,防止误判。因为一旦隔离将会导致这些攻击性质的用户无法上网。

功能简介:

NFPP:网络基础保护策略 (Network Foundation Protection Policy),简称NFPP。在网络环境中经常发现一些恶意的攻击,这些攻击会给交换机带来过重的负担,引起交换机CPU利用率过高,导致交换机无法正常运行。这些攻击具体表现在:

拒绝服务攻击可能导致大量消耗交换机内存、表项或者其它资源,使系统无法继续服务。大量的报文流砸向CPU,占用了整个送CPU的报文的带宽,导致正常的协议流和管理流无法被CPU处理,带来协议震荡或者无法管理,从而导致数据面的转发受影响,并引起整个网络无法正常运行。大量的报文砸向CPU会消耗大量的CPU资源,使CPU一直处于高负载状态,从而影响管理员对设备进行管理或者设备自身无法运行。NFPP可以有效地防止系统受这些攻击的影响。在受攻击情况下,保护系统各种服务的正常运行,以及保持较低的CPU负载,从而保障了整个网络的稳定运行。

NFPP重点子功能介绍:(日常应用中,可能需要调整的功能为ARP-Guard和IP-Guard,其他未在本文中列出的功能,例如ND Guard、DHCP Guard保持默认设置即可)

ARP-Guard:

汇聚交换机作为网关,需要正常处理用户端的ARP报文,ARP-Guard功能主要目标为保护设备CPU,防止大量攻击ARP报文送CPU导致CPU利用率升高,所以ARP-Guard实现了对送CPU ARP报文的限速和攻击检测。ARP攻击识别分为基于主机和基于物理端口两个类别,基于主机又细分为基于源IP地址/VLAN ID/物理端口和基于链路层源MAC地址/ VLAN ID /物理端口,每种攻击识别都有限速水线例如(4PPS)和攻击告警水线(8PPS)。当ARP报文速率超过限速水线时,超限报文将被丢弃。当ARP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还可以对攻击源头采取硬件隔离措施。

ARP抗攻击还能检测出ARP扫描。ARP扫描是指链路层源MAC地址固定而源IP地址变化,或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化。由于存在误判的可能,对检测出有ARP扫描嫌疑的主机不进行隔离,只是提供给管理员参考

IP-Guard:

当主机发出的报文目的地址为交换机直连网段不存在或未上线用户的IP地址时,交换机会发出ARP进行请求,如果存在这样的连续不断的攻击,会导致设备CPU高。IP-Guard可以识别此类攻击,并进行限速。攻击识别分为基于主机和基于物理端口两个类别。基于主机是采用源IP地址/VLAN ID/物理端口三者结合识别的。每种攻击识别都有限速水线和告警水线。当IP报文速率超过限速水线时,超限报文将被丢弃。当IP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。

NFPP日志信息打印调整:

当NFPP检测到攻击后,在专用日志缓冲区生成一条日志。NFPP以一定速率从专用缓冲区取出日志,生成系统消息,并且从专用日志缓冲区清除这条日志。


Ⅱ  NFPP配置案例

一、组网需求

核心设备下挂3000个用户,其中一个端口最大用户数为200个,接入交换机所携带的用户数不超过200,接入交换机的每个端口最大用户数6个,所有的接入设备都启用DHCP Snooping+DAI功能防ARP欺骗。为了防止非法攻击,占用交换机的CPU资源,需要调整NFPP的相关参数实现防攻击

二、组网拓扑

nfpp,锐捷网络,安全,网络,服务器

三、配置要点

1、根据需求调整接入交换机NFPP功能参数,由于接入交换机开启了DAI功能,网关发送的ARP报文到接入交换机后都需要送CPU处理,为了防止正常的ARP等报文被NFPP丢弃,需要关闭上联口的NFPP相关功能,并放大接入交换机的CPP限速(默认限速180PPS在DAI场景中偏小)

2、根据核心的用户数量,调整核心交换机NFPP基于端口的限速/攻击检测参数

3、为了避免NFPP产生的LOG太多,通过命令调整LOG打印速率

四、配置步骤  

接入交换机配置:

1、配置交换机的防ARP欺骗功能,具体也可以参见DHCP环境防ARP欺骗章节中DHCP Snooping+DAI方案。

Ruijie#configure terminal

Ruijie(config)#vlan 10  

Ruijie(config-vlan)#exit

Ruijie(config)#ip arp inspection vlan 10

Ruijie(config)#ip dhcp snooping

Ruijie(config)#interface gigabitEthernet 0/25

Ruijie(config-if-GigabitEthernet 0/25)#switchport mode trunk

Ruijie(config-if-GigabitEthernet 0/25)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/25)#ip arp inspection trust

Ruijie(config-if-GigabitEthernet 0/25)#exit

Ruijie(config)#interface range fastEthernet 0/1-24

Ruijie(config-if-range)#switchport access vlan 10

Ruijie(config-if-range)#end

Ruijie#

2、NFPP功能配置:

1)全局NFPP配置

       默认交换机的NFPP功能是开启的,二层交换机参数无需调整,只需将上联口NFPP关闭,同时由于开启了DAI的原因,需要调整放大CPP。

        Ruijie(config)#cpu-protect type arp pps 500 ,如果没有使用DAI,CPP也无需调整。

全局下的NFPP调整参数如下

Ruijie(config-nfpp)#log-buffer entries 1024                                     ------>设置NFPP log缓存的容量为1024条(默认256)

Ruijie(config-nfpp)#log-buffer logs 1 interval 300                          ------>为避免NFPP产生的LOG太多,调整每次打印一条相同log信息的阀值为300秒

Ruijie(config-nfpp)#exit

Ruijie(config)#

2)接口NFPP配置

为了防止大量网关发送的正常的相关报文(特别是网关发送的ARP请求或回应报文)被接入交换机误认为是攻击被丢弃,从而导致下联用户无法获取网关的ARP信息而无法上网,需要将上联口的NFPP功能关闭

Ruijie(config)#int g0/25

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp arp-guard enable    ------>关闭接口的ARP-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp dhcp-guard enable ------>关闭接口的dhcp-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp dhcpv6-guard enable   ------>关闭接口的dhcpv6-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp icmp-guard enable       ------>关闭接口的icmp-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp ip-guard  enable           ------>关闭接口的ip-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp nd-guard  enable         ------>关闭接口的nd-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测

Ruijie(config-if-GigabitEthernet 0/25)#exit

Ruijie(config)#

核心交换机NFPP配置:

只做下述调整即可:

Ruijie(config)#nfpp

Ruijie(config-nfpp)#arp-guard  attack-threshold   per-port 800       ------>设置每个端口的攻击阀值为800个,超过此值丢弃并打印攻击日志

Ruijie(config-nfpp)#arp-guard  rate-limit per-port 500      ------>每个端口每秒限速500个arp报文,多余的ARP报文将被丢弃(默认限速阀值是100个偏小)

Ruijie(config-nfpp)#log-buffer entries 1024          ------>设置NFPP log缓存的容量为1024条(默认256)

Ruijie(config-nfpp)#log-buffer logs 1 interval 300     ------>调整log打印频率为300S打印1次

Ruijie(config-nfpp)#exit

Ruijie(config)#

如果需要开启硬件隔离,为了防止误判,应放大限速及攻击检测的阈值。

注意:

隔离功能通常不建议开启,在汇聚设备上如果用户攻击非常频繁,导致设备CPU90%以上,此事可以考虑进行硬件隔离,并放大当前攻击的检测阈值,防止误判。因为一旦隔离将会导致这些攻击性质的用户无法上网,接入设备上不要开启NFPP硬件隔离。

Ruijie(config)#nfpp                 ------>进入NFPP配置模式

Ruijie(config-nfpp)#arp-guard  isolate-period 600                            ------>超过ARP攻击阀值后,对用户进行隔离,设置隔离时间为600秒

Ruijie(config-nfpp)#arp-guard  attack-threshold   per-src-mac 30    ------>设置每个mac的攻击阀值为10个,如果交换机检测每个mac发送的ARP报文大于10个,那么交换机会把该用户放入ARP攻击表,可以对这些用户进行硬件隔离(默认不进行硬件隔离,可以进行配置隔离时间进行隔离,设置隔离时间后会占用硬件表项资源。默认每MAC的攻击阀值是8个)

Ruijie(config-nfpp)#arp-guard  attack-threshold   per-src-ip 30        ------>设置每个IP的攻击阀值为10个,如果交换机检测每个IP发送的ARP报文大于10个,那么交换机会把该用户放入ARP攻击表,可以对这些用户进行硬件隔离(默认不进行硬件隔离,可以进行配置隔离时间进行隔离,设置隔离时间后会占用硬件表项资源。默认每IP的攻击阀值是8个)

Ruijie(config-nfpp)#arp-guard  rate-limit  per-src-mac 20   ------>每个mac每秒限速6个arp报文,多余的ARP报文将被丢弃(默认限速阀值是4个)

Ruijie(config-nfpp)#arp-guard  rate-limit  per-src-ip 20       ------>每个IP每秒限速6个arp报文,多余的ARP报文将被丢弃(默认限速阀值是4个)

Ruijie(config-nfpp)#ip-guard attack-threshold per-src-ip 80            ------>设置IP攻击阀值为40个每IP

Ruijie(config-nfpp)#ip-guard isolate-period 600                               ------>超过IP攻击阀值后,对用户进行隔离,设置隔离时间为600秒

五、功能验证

1、查看ARP-guard的全局配置情况(不同软件版本的阀值可能有所区别,具体以实际show出来的结果为准)

nfpp,锐捷网络,安全,网络,服务器

2、查看ARP-guard的扫描表:

nfpp,锐捷网络,安全,网络,服务器

3、查看ARP-guard被隔离的用户

nfpp,锐捷网络,安全,网络,服务器

4、查看放入日志缓冲区的用户

nfpp,锐捷网络,安全,网络,服务器文章来源地址https://www.toymoban.com/news/detail-763976.html

到了这里,关于锐捷交换机——安全功能:NFPP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 锐捷交换机基本配置命令

    锐捷交换机,忘记colsole口的en密码,重启交换机,立即按ctrl+c,进入bootloader 菜单,再按ctrl+q,然后输入命令:main_config_password_clear,回车,即可进入交换机软件系统,不需要en密码,但重启后就会要求输入密码。用此种方式进入配置界面,更改密码。 hostname SW 更改设备名称为

    2024年02月11日
    浏览(47)
  • 259、锐捷交换机的配置命令大全

    除了关于华为交换机的配置,很多朋友多次提到锐捷交换机的配置,本文我们来了解锐捷交换机的配置。 一、基础配置命令 1、准备命令 Enable 进入特权模式 #Exit   返回上一级操作模式 #End   返回到特权模式 #write memory 或copy running-config startup-config   保存配置文件 #del flas

    2024年02月09日
    浏览(44)
  • 锐捷交换机链路聚合相关原理配置详解

    应用场景: 当交换机上面存在多条冗余链路,希望与对端网络设备进行一个捆绑聚合,比如汇聚与核心交换机互联的链路,或者是双核心、多核心环网的组网模式时,通过端口聚合可以提升他们之间链路的带宽,同时提供链路冗余备份的效果,避免链路单点故障,影响关键节

    2024年02月13日
    浏览(113)
  • 锐捷交换机——全局IP+MAC绑定

    目录 一、组网需求 二、组网拓扑 三、配置要点 四、配置步骤 五、验证命令         利用接入设备实现接入用户,只有绑定的ip+MAC才可以与外网通信,没有绑定的不能通信。 1、全局绑定IP+MAC地址 2、配置例外接口(没有绑定限制) 3、开启address-bind功能 注意:配置之前建

    2024年02月05日
    浏览(64)
  • 178、锐捷交换机恢复出厂和各种基本配置

    锐捷最详细的基础命令。 一、锐捷交换机配置原理 我们来看下锐捷的日常配置命令原理。   1、进入特权模式 Ruijieenable       //进入特权模式   2、查看设备flash当前文件列表 Ruijie#dir       //查看flash当前文件列表   3、将配置文件“config.text”删除 Ruijie#delete config.text 

    2024年02月05日
    浏览(62)
  • 锐捷交换机——MAC地址绑定、IP source guard

    目录 Ⅰ  MAC地址绑定 一、功能简介 二、配置命令 Ⅱ  IP source guard 应用场景 功能简介 一、组网需求 二、组网拓扑 三、配置要点 四、配置步骤   1、开启核心设备的DHCP服务功能 2、创建核心设备的IP地址,即用户的网关地址 3、创建核心设备的DHCP地址池 五、功能验证   每一

    2024年02月04日
    浏览(196)
  • 锐捷RG-S2910E交换机配置网站白名单

    2024年02月06日
    浏览(42)
  • 锐捷交换机——配置设备登录管理方式:Telnet、SSH、CONSOLE

    目录 Ⅰ  创建管理IP Ⅱ  配置默认网关 Ⅲ  Telnet 方式登录 Ⅳ  SSH 方式登录 Ⅴ  CONSOLE 方式登录   二层交换机由于不支持路由口,只能使用SVI进行管理,三层交换机的设备管理地址可以采用SVI或路由口进行管理。 二层交换机: 二层交换机配置IP地址是用于管理设备使用,比

    2024年02月05日
    浏览(208)
  • 锐捷交换机,路由器,无线,ESS,EG所有操作配置命令合集

    接口注释 description Con_To_XX 记得/30的直连物理路由端口写ip ospf network point-to-point Ruijie(config-GigabitEthernet 0/0)#media-type basex force ---将接口切成 光模式 Ruijie(config-GigabitEthernet 0/0)#media-type baset  ---将接口从光口切换电口模式(接口默认属于该模式,show run该命令不显示) show ip f f 

    2024年02月12日
    浏览(65)
  • 高级网络安全管理员 - 网络设备和安全配置:交换机端口安全配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年02月03日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包