Salut,
Voici quelques exemples de configuration courants pour votre référence.
1. Déploiement de la sécurité MAC (déploiement au niveau de la couche d'accès)
[interface view] port-security enable // modification des adresses MAC apprises pour sécuriser les adresses MAC dynamiques
[vue d'interface] port-security max-mac-num 1 // Configuration du nombre maximal d'adresses MAC sécurisées apprises sur une interface
[interface view] stick-security mac-address stick // Conversion des adresses MAC dynamiques sécurisées en adresses MAC collantes pour garantir que les données ne seront pas perdues après le redémarrage de la carte.
2. Configurer le traçage des sources d'attaque
[Quidway]cpu-defend policy test
[Quidway]car packet-type arp-request cir 256 cbs 48128 // Set this parameter based on the site requirements.
[Quidway]car packet-type arp-reply cir 256 cbs 48128
[Quidway]deny packet-type ttl-expired // Discards packets with TTL of 1 sent to the CPU.
[Quidway -cpu-defend-policy-test]auto-defend enable
[Quidway -cpu-defend-policy-test]auto-defend threshold 60
[Quidway -cpu-defend-policy-test]auto-defend alarm enable
[Quidway -cpu-defend-policy-test ] undo auto-defend trace-type source-portvlan
[Quidway -cpu-defend-policy-test] auto-defend action deny
[Quidway -cpu-defend-policy-test] auto-defend whitelist 1 acl/interface // Prevention of mispunishment
[Quidway -cpu-defend-policy-test]auto-port-defend whitelist 1 acl/interface // Prevention of mispunishment
[Quidway]cpu-defend-policy test global // Applied to LPUs
[Quidway]cpu-defend-policy test // Applied to the control board
[Quidway]auto-defend action deny timer 10
3. Sécurité ARP
Les fonctions de sécurité ARP incluent l'usurpation anti-ARP, l'attaque de conflit de passerelle anti-ARP, la suppression des paquets ARP et la suppression des erreurs ARP.
[Quidway] arp anti-attack entry-check fixed-mac enable
[Quidway] arp anti-attack gateway-duplicate enable
[Quidway] arp-miss speed-limit source-ip maximum 20
[Quidway] arp-miss speed-limit source-mac maximum 20
[vlanif view] arp-fake expire-time 10 // Définit le délai d'expiration des entrées ARP temporaires sur une interface à 10 secondes.
[interfac view] arp validate source-mac destination-ma // Activer la vérification de validité
4. Activer la défense contre les attaques de paquets malformées
[Quidway]anti-attack abnormal enable
5. Activer la défense contre les attaques par fragments de paquets
[Quidway] anti-attack fragment enable
Pour toute autre question, faites-le nous savoir!