HCIP-DATACOM-note10

VLAN 聚合 (Super VLAN)

• Super-VLAN
• Sub-VLAN

QinQ

802.1Q in 802.1Q

• 基本 QinQ
  • 固定标签
• 灵活 QinQ
  • 根据标签分配标签

MUX VLAN (私有 VLAN、P-VLAN)

作用

概念

• Principal VLAN (主 VLAN)
• Group VLAN (组 VLAN)
• Separate VLAN (独立 VLAN)

能否通信	Principal	Group	Separate
Principal	√	√	√
Group	√	√
Separate	√

端口隔离

相同隔离组内相互隔离，不同组之间不会隔离

端口安全

类型	定义	特点
安全动态 MAC
安全静态 MAC
Sticky MAC

动作|说明
restrict
protect
shutdown

安全加固策略

• 关闭不使用的业务和协议端口
• 废弃不安全的访问通道
  • 不安全通道：Telnet、FTP、TFTP、SNMP v1/v2、HTTP
  • 安全通道：SSH v2、SFTP、SNMP v3、HTTPS
• 基于可信路径的访问控制
  • 访问控制策略
  • 部署 URPF
• 本机防攻击
  • CPU 防攻击
    • 多级安全机制：黑名单、CPCAR、优先级调度、限速
    • 动态链路保护功能的 CPU 报文限速
  • 攻击溯源

SSH

相关指令

系统视图

创建接口组

# port-gourp 接口组名称
port-gourp test

查看隔离接口组

# display port-isolate group 组id
display port-isolate group 1

查看已绑定的 MAC 地址

display mac-address sticky

查看告警信息

display trapbuffer

启用 SSH 服务器功能

stelnet server enable

指定 SSH 用户认证模式

# ssh user 用户名 authentication-type {password|rsa|password-rsa|all}
ssh user admin authentication-type all 

配置公钥

rsa peer-public-key 公钥名称 [encoding-type {der|openssh|pem}]
rsa peer-public-key test 

为用户绑定公钥

# ssh user 用户名 assign {rsa-key|ecc-key} 公钥名称
ssh user rrr assign rsa-key test

生成本地 RSA 主机密钥对与服务器密钥对

rsa local-key-pair create

开启 SSH 客户端首次认证功能

ssh client first-time enable 

修改 SSH 服务端口号

# ssh server port 端口号
ssh server port 1026

创建防攻击策略

# cpu-defend policy 策略名
cpu-defend policy test

调用防攻击策略

# cpu-defend-policy 策略名 [global|slot 板卡编号]
cpu-defend-policy test

VLAN 视图

指定为 Super VLAN (VLAN 1 不能指定为 Super VLAN)

aggregate-vlan

将 Sub VLAN 加入 Super VLAN

# accesss-vlan {vlan-id1 [to vlan-id2]}
accesss-vlan 10

启用 ARP 代理，实现不同 VLAN 间通信

arp-proxy inter-sub-vlan-proxy enable

启用 MUX VLAN 功能并指定为主 VLAN

mux vlan

添加描述

# description 文本信息
description test

声明组 VLAN

# subordinate group vid
subordinate group 5

声明独立 VLAN

# subordinate separate vid
subordinate separate 6

接口视图

指定接口类型为 dot1q-tunnel (QinQ)

port link-type dot1q-tunnel

开启接口 VLAN 转换功能

qinq vlan-translation enable

配置灵活 QinQ 映射

# port vlan-stacking vlan vlan-id1 [to vlan-id2] stack-vlan vlan-id3 [remark-8021p 8021p-value]
port vlan-stacking vlan 100 stack-vlan 10

指定外层 VLAN tag 的 TPID 值

qinq protocol 9100      # 9100 为 QinQ 数据包，普通 VLAN 为 8100

接口启用 MUX VLAN 功能

port mux-vlan enable

将接口加入隔离组

# port-isolate enable group 组id
port-isolate enable group 1

开启接口安全功能

port-security enable

指定接口最大连接数

# port-security max-mac-num 数量
port-security max-mac-num 50

启用 Sticky / 指定安全 MAC

# port-security mac-address sticky [MAC地址]
port-security mac-address sticky AAAA-AAAA-AAAA
undo port-security mac-address sticky AAAA-AAAA-AAAA vlan 10     # 删除地址

关闭接口

shutdown

接口组视图

批量添加接口

# gourp-member 接口号 to 接口号
gourp-member g0/0/4 to g0/0/48

公钥视图

开始输入

public-key-code begin

结束输入

public-key-code end

退出公钥视图

peer-public-key end

防攻击策略视图

配置黑名单

# blacklist 编号 acl acl编号
blacklist 1 acl 2000

指定上送 CPU 报文速率

# packet-type 报文类型 rate-limit 最大速率
packet-type 报文类型 rate-limit 最大速率

指定报文优先级

# packet-type 报文类型 priority 优先级
packet-type 报文类型 priority 优先级

开启动态链路保护功能

# cpu-defend application-apperceive [ssh|telnet|bgp|ftp|http] enable
cpu-defend application-apperceive enable

开启攻击溯源功能

auto-defend enable

指定攻击溯源检查阈值

# auto-defend threshold 阈值
auto-defend threshold 5000

开启攻击溯源事件上报功能

auto-defend alarm enable

• 本文作者：GentlemanRabbit
• 本文链接：https://gentrabbit.moe/2021/12/28/HCIP-DATACOM-note10/
• 版权声明：本博客所有文章除特别声明外，均默认采用 许可协议。