极简网络之终端安全技术解析

极简网络是面向下一代园区网络设计的解决方案，目的是帮助客户解决长期存在于传统网络中的诸多问题，例如运维管理工作复杂，终端用户体验保障不足，新业务部署进展缓慢等问题。其中，在终端应用网络时的安全性保障方面也有良好的支持，具体体现在如下四个场景中：

1、防止未认证终端的ARP欺骗

由于WEB认证，需要先让设备学习到终端ARP，终端才能做WEB认证，而这期间仿冒未认证终端做ARP欺骗，就会导致终端无法完成认证过程。针对该问题，RG-N18000系列交换机当发生ARP冲突时，会为每个终端保留2分钟的认证时间。确保终端在这期间有足够的时间认证成功。

2、防止IP地址冲突

为了检测终端间IPv4和IPv6地址冲突的情况，而IPv4主机地址冲突检测机制依赖终端的免费ARP的广播，IPv6主机地址冲突检测机制依赖IPv6的MAD的广播检测机制。这些都可能造成对其他设备的欺骗攻击。RG-N18000系列交换机采用ARP和ND代理机制来解决既避免攻击又能提醒终端存在地址的情况，即当终端发出的ARP请求与交换机上的认证生成的静态ARP地址或者ND地址冲突的情况，由交换机代理被冲突的终端发出免费ARP和ND报文。

3、防止终端的报文洪水攻击

即终端向RG-N18000系列交换机发起大量的ARP、ND、ICMP报文攻击（包括终端环路的情况），交换机的NFPP和CPP机制可以检测和发现这些终端，并对这些终端实施硬件隔离。具体机制参见CPP和NFPP的配置指南。

4、防止终端的DHCP扫描攻击

即终端向RG-N18000系列交换机发起大量的DHCP请求报文攻击（包括终端环路的情况），导致DHCP Server的地址池资源耗尽，N18k支持基于PORT+VID限制（也就是单个终端）地址学习数量，从而确保地址资源不会被某些终端攻击而耗尽。