VLAN 聚合 (Super VLAN)

  • Super-VLAN
  • Sub-VLAN

QinQ

802.1Q in 802.1Q

  • 基本 QinQ
    • 固定标签
  • 灵活 QinQ
    • 根据标签分配标签

MUX VLAN (私有 VLAN、P-VLAN)

作用

概念

  • Principal VLAN (主 VLAN)
  • Group VLAN (组 VLAN)
  • Separate VLAN (独立 VLAN)
能否通信 Principal Group Separate
Principal
Group
Separate

端口隔离

相同隔离组内相互隔离,不同组之间不会隔离

端口安全

类型 定义 特点
安全动态 MAC
安全静态 MAC
Sticky MAC

动作|说明
restrict
protect
shutdown

安全加固策略

  • 关闭不使用的业务和协议端口
  • 废弃不安全的访问通道
    • 不安全通道:Telnet、FTP、TFTP、SNMP v1/v2、HTTP
    • 安全通道:SSH v2、SFTP、SNMP v3、HTTPS
  • 基于可信路径的访问控制
    • 访问控制策略
    • 部署 URPF
  • 本机防攻击
    • CPU 防攻击
      • 多级安全机制:黑名单、CPCAR、优先级调度、限速
      • 动态链路保护功能的 CPU 报文限速
    • 攻击溯源

SSH

相关指令

系统视图

创建接口组

# port-gourp 接口组名称
port-gourp test

查看隔离接口组

# display port-isolate group 组id
display port-isolate group 1

查看已绑定的 MAC 地址

display mac-address sticky

查看告警信息

display trapbuffer

启用 SSH 服务器功能

stelnet server enable

指定 SSH 用户认证模式

# ssh user 用户名 authentication-type {password|rsa|password-rsa|all}
ssh user admin authentication-type all 

配置公钥

rsa peer-public-key 公钥名称 [encoding-type {der|openssh|pem}]
rsa peer-public-key test 

为用户绑定公钥

# ssh user 用户名 assign {rsa-key|ecc-key} 公钥名称
ssh user rrr assign rsa-key test

生成本地 RSA 主机密钥对与服务器密钥对

rsa local-key-pair create

开启 SSH 客户端首次认证功能

ssh client first-time enable 

修改 SSH 服务端口号

# ssh server port 端口号
ssh server port 1026

创建防攻击策略

# cpu-defend policy 策略名
cpu-defend policy test

调用防攻击策略

# cpu-defend-policy 策略名 [global|slot 板卡编号]
cpu-defend-policy test

VLAN 视图

指定为 Super VLAN (VLAN 1 不能指定为 Super VLAN)

aggregate-vlan

将 Sub VLAN 加入 Super VLAN

# accesss-vlan {vlan-id1 [to vlan-id2]}
accesss-vlan 10

启用 ARP 代理,实现不同 VLAN 间通信

arp-proxy inter-sub-vlan-proxy enable

启用 MUX VLAN 功能并指定为主 VLAN

mux vlan

添加描述

# description 文本信息
description test

声明组 VLAN

# subordinate group vid
subordinate group 5

声明独立 VLAN

# subordinate separate vid
subordinate separate 6

接口视图

指定接口类型为 dot1q-tunnel (QinQ)

port link-type dot1q-tunnel

开启接口 VLAN 转换功能

qinq vlan-translation enable

配置灵活 QinQ 映射

# port vlan-stacking vlan vlan-id1 [to vlan-id2] stack-vlan vlan-id3 [remark-8021p 8021p-value]
port vlan-stacking vlan 100 stack-vlan 10

指定外层 VLAN tag 的 TPID 值

qinq protocol 9100      # 9100 为 QinQ 数据包,普通 VLAN 为 8100

接口启用 MUX VLAN 功能

port mux-vlan enable

将接口加入隔离组

# port-isolate enable group 组id
port-isolate enable group 1

开启接口安全功能

port-security enable

指定接口最大连接数

# port-security max-mac-num 数量
port-security max-mac-num 50

启用 Sticky / 指定安全 MAC

# port-security mac-address sticky [MAC地址]
port-security mac-address sticky AAAA-AAAA-AAAA
undo port-security mac-address sticky AAAA-AAAA-AAAA vlan 10     # 删除地址

关闭接口

shutdown

接口组视图

批量添加接口

# gourp-member 接口号 to 接口号
gourp-member g0/0/4 to g0/0/48

公钥视图

开始输入

public-key-code begin

结束输入

public-key-code end

退出公钥视图

peer-public-key end

防攻击策略视图

配置黑名单

# blacklist 编号 acl acl编号
blacklist 1 acl 2000

指定上送 CPU 报文速率

# packet-type 报文类型 rate-limit 最大速率
packet-type 报文类型 rate-limit 最大速率

指定报文优先级

# packet-type 报文类型 priority 优先级
packet-type 报文类型 priority 优先级

开启动态链路保护功能

# cpu-defend application-apperceive [ssh|telnet|bgp|ftp|http] enable
cpu-defend application-apperceive enable

开启攻击溯源功能

auto-defend enable

指定攻击溯源检查阈值

# auto-defend threshold 阈值
auto-defend threshold 5000

开启攻击溯源事件上报功能

auto-defend alarm enable