j'ai compris
Communauté de Support de Huawei Entreprise
Communauté Forums Routage & Commutation
Déploiement de la sécur...

Déploiement de la sécurité

publié il y a  2020-3-28 16:58:44Dernière réponse mzo. 28, 2020 17:02:43 305 1 0 0 0
  Récompense F-coins.: 0 (Résolu)
Tout afficher 1#

Bonjour équipe,

Pouvez-vous me donner quelques conseils sur le déploiement de sécurité du commutateur S?

Merci beaucoup!



  • x
  • Standard:

Aime (0) N'aime pas (0) Favoris(0) Partager Rapport
Précédent: Interface utilisateur
Prochain: Utilisation élevée de la mémoire sur CE6855
Réponses en vedette

Meilleure réponse

(1) (0)
Youssefi.R
publié il y a 2020-3-28 17:02:43

Salut,

Voici quelques exemples de configuration courants pour votre référence.

1. Déploiement de la sécurité MAC (déploiement au niveau de la couche d'accès)

[interface view] port-security enable // modification des adresses MAC apprises pour sécuriser les adresses MAC dynamiques

[vue d'interface] port-security max-mac-num 1 // Configuration du nombre maximal d'adresses MAC sécurisées apprises sur une interface

[interface view] stick-security mac-address stick // Conversion des adresses MAC dynamiques sécurisées en adresses MAC collantes pour garantir que les données ne seront pas perdues après le redémarrage de la carte.

2. Configurer le traçage des sources d'attaque

[Quidway]cpu-defend policy test

[Quidway]car packet-type arp-request cir 256 cbs 48128   // Set this parameter based on the site requirements.

[Quidway]car packet-type arp-reply cir 256 cbs 48128

[Quidway]deny packet-type ttl-expired  // Discards packets with TTL of 1 sent to the CPU.

[Quidway -cpu-defend-policy-test]auto-defend enable

[Quidway -cpu-defend-policy-test]auto-defend threshold 60

[Quidway -cpu-defend-policy-test]auto-defend alarm enable

 [Quidway -cpu-defend-policy-test ] undo auto-defend  trace-type  source-portvlan

[Quidway -cpu-defend-policy-test] auto-defend action deny

[Quidway -cpu-defend-policy-test] auto-defend whitelist 1 acl/interface    // Prevention of mispunishment

[Quidway -cpu-defend-policy-test]auto-port-defend whitelist 1 acl/interface    // Prevention of mispunishment

[Quidway]cpu-defend-policy test global    // Applied to LPUs

[Quidway]cpu-defend-policy test    // Applied to the control board

[Quidway]auto-defend action deny timer 10

3. Sécurité ARP

Les fonctions de sécurité ARP incluent l'usurpation anti-ARP, l'attaque de conflit de passerelle anti-ARP, la suppression des paquets ARP et la suppression des erreurs ARP.

[Quidway] arp anti-attack entry-check fixed-mac enable

[Quidway] arp anti-attack gateway-duplicate enable

[Quidway] arp-miss speed-limit source-ip maximum 20

[Quidway] arp-miss speed-limit source-mac maximum 20

[vlanif view] arp-fake expire-time 10 // Définit le délai d'expiration des entrées ARP temporaires sur une interface à 10 secondes.

[interfac view] arp validate source-mac destination-ma // Activer la vérification de validité

4. Activer la défense contre les attaques de paquets malformées

[Quidway]anti-attack abnormal enable

5. Activer la défense contre les attaques par fragments de paquets

[Quidway] anti-attack fragment enable


Pour toute autre question, faites-le nous savoir!


View more
  • x
  • Standard:
Toutes les réponses
Youssefi.R
Youssefi.R publié il y a 2020-3-28 17:02:43

Salut,

Voici quelques exemples de configuration courants pour votre référence.

1. Déploiement de la sécurité MAC (déploiement au niveau de la couche d'accès)

[interface view] port-security enable // modification des adresses MAC apprises pour sécuriser les adresses MAC dynamiques

[vue d'interface] port-security max-mac-num 1 // Configuration du nombre maximal d'adresses MAC sécurisées apprises sur une interface

[interface view] stick-security mac-address stick // Conversion des adresses MAC dynamiques sécurisées en adresses MAC collantes pour garantir que les données ne seront pas perdues après le redémarrage de la carte.

2. Configurer le traçage des sources d'attaque

[Quidway]cpu-defend policy test

[Quidway]car packet-type arp-request cir 256 cbs 48128   // Set this parameter based on the site requirements.

[Quidway]car packet-type arp-reply cir 256 cbs 48128

[Quidway]deny packet-type ttl-expired  // Discards packets with TTL of 1 sent to the CPU.

[Quidway -cpu-defend-policy-test]auto-defend enable

[Quidway -cpu-defend-policy-test]auto-defend threshold 60

[Quidway -cpu-defend-policy-test]auto-defend alarm enable

 [Quidway -cpu-defend-policy-test ] undo auto-defend  trace-type  source-portvlan

[Quidway -cpu-defend-policy-test] auto-defend action deny

[Quidway -cpu-defend-policy-test] auto-defend whitelist 1 acl/interface    // Prevention of mispunishment

[Quidway -cpu-defend-policy-test]auto-port-defend whitelist 1 acl/interface    // Prevention of mispunishment

[Quidway]cpu-defend-policy test global    // Applied to LPUs

[Quidway]cpu-defend-policy test    // Applied to the control board

[Quidway]auto-defend action deny timer 10

3. Sécurité ARP

Les fonctions de sécurité ARP incluent l'usurpation anti-ARP, l'attaque de conflit de passerelle anti-ARP, la suppression des paquets ARP et la suppression des erreurs ARP.

[Quidway] arp anti-attack entry-check fixed-mac enable

[Quidway] arp anti-attack gateway-duplicate enable

[Quidway] arp-miss speed-limit source-ip maximum 20

[Quidway] arp-miss speed-limit source-mac maximum 20

[vlanif view] arp-fake expire-time 10 // Définit le délai d'expiration des entrées ARP temporaires sur une interface à 10 secondes.

[interfac view] arp validate source-mac destination-ma // Activer la vérification de validité

4. Activer la défense contre les attaques de paquets malformées

[Quidway]anti-attack abnormal enable

5. Activer la défense contre les attaques par fragments de paquets

[Quidway] anti-attack fragment enable


Pour toute autre question, faites-le nous savoir!


View more
  • x
  • Standard:
Retour à la liste

Commentaire

Avancé
B Color Image Link Quote Code Smilies
Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier
Site Web Huawei Assistance À propos de Huawei Politique de confidentialité Accord utilisateur Conditions d'utilisation Cookies Préférences Cookies Formation & Certification

Contactez-nous: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Tous droits réservés.

APP

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.