第十章：网络系统建设与运维（高级）—— 网络系统安全

[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1]port-security enable  # 启用接口安全
[S1-GigabitEthernet0/0/1]port-security max-mac-num 1  # 限制最大学习MAC数（默认1）
[S1-GigabitEthernet0/0/1]port-security protect-action restrict  # 保护动作（默认restrict）

保护动作分类 ：
- protect：丢弃非法报文，不告警。
- restrict：丢弃非法报文，同时告警（默认）。
- shutdown：接口 Down，告警。

Sticky MAC 配置（绑定已学习 MAC） ：

bash

运行

复制代码

[S1-GigabitEthernet0/0/1]port-security mac-address sticky  # 自动绑定已学习MAC
[S1-GigabitEthernet0/0/1]port-security mac-address sticky 487b-6bf8-8000 vlan 1  # 手工绑定

关键要点

Sticky MAC 绑定后，设备重启不丢失，适合固定终端（如服务器）。
接口 Down 后，动态学习的 MAC 会清除，Sticky MAC 保留。

2. DHCP Snooping（防 DHCP 欺骗 / 耗竭攻击）

核心原理

区分信任端口 （接合法 DHCP 服务器）和不信任端口（接终端），仅信任端口允许转发 DHCP Offer/ACK/NAK 报文。
监听 DHCP 交互，建立 "IP-MAC-VLAN - 接口" 绑定表，为后续 ARP 安全、IP 源防护提供基础。

关键配置

bash

运行

复制代码

[S1]dhcp enable  # 全局启用DHCP
[S1]dhcp snooping enable  # 全局启用DHCP Snooping
[S1]vlan 1
[S1-vlan1]dhcp snooping enable  # VLAN内启用
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1]dhcp snooping trusted  # 配置信任端口（接DHCP服务器）
# 可选检查项（增强安全性）
[S1-GigabitEthernet0/0/2]dhcp snooping check dhcp-chaddr enable  # 检查CHADDR与源MAC一致
[S1-GigabitEthernet0/0/2]dhcp snooping check dhcp-rate 50  # 限制DHCP报文速率
[S1-GigabitEthernet0/0/2]dhcp snooping sticky-mac  # 绑定MAC与IP

关键要点

绑定表可通过display dhcp snooping user-bind all查看。
静态 IP 终端需手工添加绑定表：user-bind static ip-address x.x.x.x mac-address xxx interface g0/0/x vlan x。

3. ARP 安全（动态 ARP 检测 DAI，防 ARP 欺骗）

核心原理

ARP 欺骗通过发送虚假 ARP 响应，篡改终端 ARP 表（如网关 MAC 被伪造）。DAI 基于 DHCP Snooping 绑定表，检查 ARP 报文的 IP、MAC、VLAN、接口是否匹配，丢弃非法报文。

关键配置

bash

运行

复制代码

# 前提：已配置DHCP Snooping
[S1]interface GigabitEthernet0/0/2
[S1-GigabitEthernet0/0/2]arp anti-attack check user-bind enable  # 启用DAI
[S1-GigabitEthernet0/0/2]arp anti-attack check user-bind check-item ip-address mac-address vlan  # 检查项（默认全查）

关键要点

静态 IP 终端需先配置user-bind static，否则 DAI 会拦截其 ARP 报文。
可在 VLAN 视图批量启用：[S1-vlan1]arp anti-attack check user-bind enable。

4. IP 源防护（IPSG，防 IP 源地址欺骗）

核心原理

黑客发送虚假源 IP 的数据包（如伪造服务器 IP），IPSG 基于 DHCP Snooping 绑定表，检查 IP 数据包的源 IP、MAC、VLAN 是否一致，丢弃非法包。

关键配置

bash

运行

复制代码

# 前提：已配置DHCP Snooping
[S1]interface GigabitEthernet0/0/2
[S1-GigabitEthernet0/0/2]ip source check user-bind enable  # 启用IPSG
[S1-GigabitEthernet0/0/2]ip source check user-bind check-item ip-address mac-address vlan  # 检查项

关键要点

IPSG 与 DAI 可同时启用，形成 "ARP-IP" 双重防护。
支持 IPv4 和 IPv6，配置逻辑一致。

二、虚拟专用网络（VPN，广域网数据安全）

1. VPN 基础

核心定义

在公网（Internet）建立加密隧道，实现异地网络 / 终端的安全互联，核心优势是低成本替代专线。

2. 加密学基础（IPSec 核心支撑）

技术类型	核心作用	常用算法
对称加密	加密业务数据（速度快）	AES-128/256、3DES、SM4
非对称加密	密钥交换、身份认证（速度慢）	RSA、ECC
HASH 算法	数据完整性校验（防篡改）	SHA-256、SM3、MD5（不推荐）
密钥交换	安全同步对称密钥	DH（Group1/2/5/14）
身份认证	验证对等体合法性	预共享密钥（PSK）、数字证书

3. IPSec 核心概念

核心功能

数据加密、身份认证、完整性校验、抗重放攻击。

关键组件

安全协议 ：
- AH（认证头）：仅提供身份认证、完整性、抗重放，不加密（端口 50）。
- ESP（封装安全载荷）：提供加密 + 认证 + 抗重放（端口 51，推荐使用）。
封装模式 ：
- 隧道模式：新增 IP 头（对等体公网 IP），隐藏内网 IP，适用于网关 - 网关互联（默认）。
- 传输模式：不新增 IP 头，仅加密传输层数据，适用于主机 - 主机互联。
安全联盟（SA）：单向逻辑连接，由 "SPI + 目的 IP + 安全协议" 唯一标识，双向通信需一对 SA。
IKE 协议：自动协商 SA 参数（密钥、算法、生存周期），避免手工配置繁琐。

4. IKE 协议（IPSec SA 自动协商）

核心流程（IKEv1）

第一阶段（建立 IKE SA） ：协商 IKE 的加密 / 认证算法、密钥交换方式，验证对等体身份。
- 主模式（6 条消息）：身份信息加密，安全性高（默认）。
- 野蛮模式（3 条消息）：协商快，身份信息明文，适用于特殊场景。
第二阶段（建立 IPSec SA）：快速模式（3 条消息），在 IKE SA 保护下，协商 IPSec 的安全协议、封装模式等。

关键配置（IKE 对等体）

bash

运行

复制代码

[R1]ike proposal 5  # 创建IKE安全提议
[R1-ike-proposal-5]authentication-method pre-share  # 预共享密钥认证
[R1-ike-proposal-5]encryption-algorithm aes-cbc-128  # 加密算法
[R1-ike-proposal-5]authentication-algorithm sha2-256  # 认证算法
[R1-ike-proposal-5]dh group14  # 密钥交换组（推荐2048位）

[R1]ike peer R2 v1  # 创建IKE对等体
[R1-ike-peer-R2]ike-proposal 5  # 引用IKE提议
[R1-ike-peer-R2]pre-shared-key cipher huawei@123  # 预共享密钥（两端一致）
[R1-ike-peer-R2]remote-address 202.138.162.1  # 对端公网IP
[R1-ike-peer-R2]local-address 202.138.163.1  # 本端公网IP

5. IPSec VPN 配置（网关 - 网关互联案例）

配置流程

定义保护数据流（ACL） ：

bash

运行

复制代码

[R1]acl number 3101
[R1-acl-adv-3101]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

配置 IPSec 安全提议 ：

bash

运行

复制代码

[R1]ipsec proposal tran1
[R1-ipsec-proposal-tran1]transform esp  # 使用ESP协议
[R1-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[R1-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[R1-ipsec-proposal-tran1]encapsulation-mode tunnel  # 隧道模式

配置安全策略 ：

bash

运行

复制代码

[R1]ipsec policy map1 10 isakmp  # IKE动态协商安全策略
[R1-ipsec-policy-isakmp-map1-10]security acl 3101  # 引用ACL
[R1-ipsec-policy-isakmp-map1-10]proposal tran1  # 引用IPSec提议
[R1-ipsec-policy-isakmp-map1-10]ike-peer R2  # 引用IKE对等体

接口应用 ：

bash

运行

复制代码

[R1]interface GigabitEthernet1/0/0  # 公网接口
[R1-GigabitEthernet1/0/0]ipsec policy map1  # 应用安全策略

三、补充知识点（实用拓展）

1. 局域网安全联动配置建议

接口安全 + DHCP Snooping + DAI + IPSG 联动：先配置 DHCP Snooping 建立绑定表，再启用 DAI 和 IPSG，形成 "MAC-IP-VLAN - 接口" 全维度防护。
终端固定场景：使用 Sticky MAC + 静态绑定表，防止终端替换导致的安全风险。

2. IPSec VPN 进阶配置

NAT 穿越 ：公网接口启用 NAT 时，需配置ipsec nat-traversal enable，IKE 协商使用 UDP 4500 端口。
SA 生存周期 ：IKE SA 默认 86400 秒，IPSec SA 默认 3600 秒，可通过sa duration调整，避免密钥长期有效。
IKEv2 优势：相比 IKEv1，协商消息更少（4 条消息建立 IKE SA）、支持断点续传、更适配移动终端，推荐在新网络中使用。

3. 常见故障排查

DHCP Snooping 绑定表为空：检查信任端口配置、DHCP 服务器是否正常响应、VLAN 是否启用 DHCP Snooping。
DAI 拦截合法 ARP 报文 ：检查静态终端是否配置user-bind static、绑定表的 IP/MAC/VLAN 是否正确。
IPSec VPN 隧道无法建立 ：
1. 公网路由是否可达（ping 对端公网 IP）。
2. IKE 对等体的预共享密钥、算法是否一致。
3. ACL 是否准确匹配需保护的数据流。
VPN 隧道建立后无法通信：检查两端内网路由是否互通、NAT 穿越是否启用、防火墙是否放行 AH/ESP/IKE 端口。

4. 安全合规建议

加密算法：避免使用 MD5、SHA-1、DES 等弱算法，优先选择 AES-256、SHA-256、DH Group14。
密钥管理：预共享密钥定期更换，推荐使用数字证书替代 PSK（避免密钥泄露风险）。
日志审计：启用安全日志（如 DHCP Snooping 告警、IPSec 协商日志），定期审计异常行为。