精华内容
下载资源
问答
  • 【二层安全】华为交换机端口安全Port-Security策略应用
    2021-08-25 09:56:45

    前提:

    在部署园区网的时候,对于一些接入层交换机,我们往往有几种特殊的需求:

    • 限制每个物理端口下接入主机的数量(MAC地址数量)
    • 固定物理端口下所连接的设备(根据IP或MAC地址进行过滤)
    • 当出现异常,能够检测并可采取相应的安全措施

    上述需求,可通过交换机的Port-Security功能来实现: 

    端口安全Port-Security特点

    交换机大多工作在OSI模型的第二层,即数据链路层中,交换机根据数据包包头的源目MAC地址生成相应的MAC Adress表项,且通过这个表项进行定位物理端口位置进行发送。在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC地址的安全。在交换机中的MAC地址表,记录了与交换机相连的设备的MAC地址、端口号、所属vlan等对应关系。

    一、MAC地址表分为三张

    1、静态MAC地址表,手工绑定,优先级高于动态MAC地址表

    2、动态MAC地址表,交换机收到数据帧后会将源mac学习到MAC地址表中

    3、黑洞MAC地址表,手工绑定或自动学习,用于丢弃指定MAC地址

    二、MAC地址表的管理命令

    1、查看mac地址表

    <Huawei>display mac-address

    2、配置静态mac地址表

    [Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1        

    将mac地址绑定到接口g0/0/1在vlan1中有效

    3、配置黑洞mac地址表

    [Huawei] mac-address blackhole 5489-987f-161a vlan 1                                    

    在vlan1中收到源或目的为此mac时丢弃帧

    4、禁止端口学习mac地址,可以在端口或者vlan中禁止mac地址学习功能

    [Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard

    禁止学习mac地址,并将收到的所有帧丢弃,也可以在vlan中配置

    [Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward

    禁止学习mac地址,但是将收到帧以泛红方式转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置

    5、限制MAC地址学习数量,可以端口或者vlan中配置

    [Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable      

    交换机限制mac地址学习数量为9个,并在超出数量时发出告警,超过的MAC数量将无法被端口学习到,但是可以通过泛红转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置

    6、配置端口安全动态mac地址

    此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

    [Huawei-GigabitEthernet0/0/3]port-security enable                          

    打开端口安全功能

    [Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1          

    限制安全MAC地址最大数量为1个,默认为1

    [Huawei-GigabitEthernet0/0/3]port-security protect-action ?            

    配置其他非安全mac地址数据帧的处理动作
      protect   Discard packets                                         丢弃,不产生告警信息
      restrict  Discard packets and warning                    丢弃,产生告警信息(默认的)
      shutdown  Shutdown                                                丢弃,并将端口shutdown

    [Huawei-GigabitEthernet0/0/3]port-security aging-time 300            

    配置安全MAC地址的老化时间300s,默认不老化

           在端口Security MAC地址中,配置如上的话,在g0/0/3端口学习到的第一个MAC地址设置为安全MAC地址,此外其他MAC地址在接入端口的话都不给予转发,在300s后刷新安全MAC地址表,并且重新学习安全MAC地址。(哪个MAC地址)先到就先被学到端口并设置为这个端口的Security MAC地址,但是在交换机重启后安全MAC地址会被清空,重新学习。

    7、配置端口安全Sticky贴粘MAC地址

    此功能与端口Security MAC地址一致,唯一不同的是:Sticky MAC地址不会老化,切交换重启后依然存在,Security MAC地址只能动态学到,而Sticky MAC可以动态学习也可以手工配置。

    [Huawei-GigabitEthernet0/0/3]port-security enable                            

    打开端口安全功能

    [Huawei-GigabitEthernet0/0/3]port-security mac-address sticky        

    打开安全粘贴MAC功能

    [Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1            

    限制安全MAC地址最大数量为1个,默认为1

    [Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1      

    手工绑定粘贴MAC地址和所属vlan

    [Huawei-GigabitEthernet0/0/3]port-security protect-action  restrict    

    配置其他非安全mac地址数据帧的处理动作

    8、配置MAC地址防漂移功能

           MAC地址漂移就是:在一个接口学习到的MAC地址在同一个vlan中的其他接口上也被学习到,这样后学习的MAC地址信息就会覆盖先学到的MAC地址信息(出接口频繁变动),这种情况多数为出现环路的时候发生,所以这个功能也可以用来排查和解决环路问题。

           MAC地址防止漂移功能的原理是:

    1)在接口上配置优先级,优先级高的接口学习到的MAC地址不会在桶vlan的优先级低的其他接口上被学到,

    2)如果优先级相同那么可以配置不允许相同优先级的接口学习到同一个MAC地址。

    [Huawei]mac-address flapping detection                   全局开启MAC漂移检测

    [Huawei]interface g0/0/2

    [Huawei-GigabitEthernet0/0/2]mac-learning priority 3        

    配置g0/0/2的接口优先级为3,默认为0

    [Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down      

    接口发生MAC地址漂移后关闭

    [Huawei-GigabitEthernet0/0/2]quit

    [Huawei]interface g0/0/3

    [Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down      

    接口发生MAC地址漂移后关闭

    [Huawei-GigabitEthernet0/0/3]quit

    配置完成后,当g0/0/2的MAC漂移到g0/0/3后,g0/0/3端口将被关闭。

    查看MAC地址漂移记录命令:[Huawei]display mac-address flapping record 

    9、配置丢弃全0的MAC地址报文功能

    在网络中一些主机或者设备在发生故障时,会发送全源和目的MAC地址为全0的帧,可以配置交换机丢弃这些错误报文功能。

    [Huawei]drop illegal-mac enable                    打开丢弃全零mac地址功能

    [Huawei]snmp-agent trap enable feature-name lldptrap      开启snmp的lldptrap告警功能

    [Huawei]drop illegal-mac alarm                     打开收到全0报文告警功能,前提是必须开启snmp的lldptrap告警功能

    10、配置MAC地址刷新arp功能

    mac信息更新后(如用户更换接入端口)自动刷新arp表项功能

    [Huawei]mac-address update arp 

    11、配置端口桥接功能

           正常情况下,交换机在收到源MAC地址和目的MAC地址的出接口为同一个接口的报文时,就认为该报文为非法报文,进行丢弃,但是有些情况下数据帧的源MAC和目的MAC地址又确实是同一个出接口,为了让交换机能够不丢弃这些特殊情况下的帧需要启用交换的端口桥功能,比如交换机下挂了不具备二层转发能力的HUB设备,或者下挂了一台启用了多个虚拟机的服务器,这样在这些下挂设备的下面的主机通信都是通过交换机的同一个接口收发的,所以这些帧是正常的帧不能丢弃。

    [Huawei]interface g0/0/10

    [Huawei-GigabitEthernet0/0/10] port bridge enable               为接口开启桥功能

    [Huawei-GigabitEthernet0/0/10] quit

    更多相关内容
  • 华为端口安全

    千次阅读 2021-04-02 15:41:06
    端口安全是交换机上的功能 端口安全功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和sticky MAC),可以阻止除安全MAC之外的主机通过本接口和交换机通信,从而增强设备安全性 当主机C断开连接,...

    端口安全是交换机上的功能
    端口安全功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和sticky MAC),可以阻止除安全MAC之外的主机通过本接口和交换机通信,从而增强设备安全性
    当主机C断开连接,默认交换机会删除接口对应的MAC地址,开启了端口安全后,主机C断开后你不允许其他主机接入,这种地址叫做安全MAC地址
    在交换机上还可以设置允许接入的最大MAC地址数量,学习到的MAC地址都与g0/0/1接口对应,如下图switch
    普通MAC地址表老化时间为5min
    在这里插入图片描述

    端口安全分类:
    1.安全动态MAC地址:
    定义:使能端口安全而未使能sticky-MAC功能时转换的MAC地址
    特点:设备重启后表项会丢失,需要重新学习,缺省情况下不会老化,只有在配置安全MAC的老化时间后才可以被老化。
    安全动态MAC地址的老化类型:绝对老化时间和相对老化时间,如设置绝对老化时间为5分钟,系统每隔1分钟进行计算一次每个MAC的存在时间,若大于等于5分钟,则立即将该安全动态MAC地址老化,否则,等待下一分钟在检测计算
    若设置相对老化时间为5分钟:系统每隔1分钟检测一次是否有该MAC的流量,若没有,经过5分钟后该安全动态MAC地址老化
    2.安全静态MAC地址:
    定义:使能端口安全时在交换机上手工配置静态MAC地址
    特点:不会被老化,手动保存配置后重启设备不会丢失
    3.Sticky-MAC(粘性MAC):
    定义:特殊类型的静态MAC,先进行安全动态MAC地址的学习,再转换成Sticky-MAC,不用手工配置(防止配置错误)

    端口安全违规分类:

    1. MAC地址超出端口安全保护动作(也就是端口收到的MAC地址不是特定设备的地址):
      (1)动作:Restrict
      丢弃源MAC地址不存在的报文并上告报警,推荐使用
      (2)动作:Protect
      只丢弃源MAC地址不存在的报文,不上告报警
      (3)动作:Shutdown
      接口状态被置为error-down,并上告报警(接口down掉)
    2. MC地址漂移后端口安全保护动作(原本0/0/0口的设备接到0/0/1口):
      (1)动作:Restrict
      丢弃源MAC地址不存在的报文并上告报警,推荐使用
      (2)动作:Protect
      只丢弃源MAC地址不存在的报文,不上告报警
      (3)动作:Shutdown
      接口状态被置为error-down,并上告报警(接口down掉),默认情况下,接口down后不会自动恢复,只能由网络管理员在接口下使用restart命令重启接口进行恢复,如果用户希望被关闭的接口可以自动恢复,可以在接口error-down前通过系统视图下执行error-down auto-recovery cause port-security intervalinterval-value命令使能接口状态自动恢复为up的功能,并设置接口自动恢复为up的时间(被关闭的接口多长时间后可以up)

    静态MAC配置:
    Mac-address static mac地址 接口号 vlan vlan号 将设备的mac地址对应的接口以及vlan id绑定
    动态安全MAC配置:
    接口下:port-security enable 开启端口安全功能(此时配置的是动态安全MAC)
    Sticky-MAC配置:
    接口下:port-security enable 开启端口安全功能(此时配置的是动态安全MAC)
    Port-security mac-address sticky 将动态安全MAC配置为Sticky-MAC
    手工指定静态安全MAC配置:
    接口下:port-security enable 开启端口安全功能
    Port-security mac-address MAC地址
    指定接口下最多可以对应2个mac地址
    接口:port-security max-mac-num 2
    配置端口保护动作:
    port-security protect-action shutdow(接口down)/protect(丢弃不报警)/restrict(丢弃报警)

    实验:静态MAC配置
    拓扑图:
    在这里插入图片描述

    配置好IP后,此时SW上对应的MAC地址不是静态MAC地址,为了防止非法用户攻击,此时可以将MAC地址和接口以及vlan id做绑定配置静态mac
    Mac-address static 54-89-98-3E-2D-99 G0/0/2 vlan 1
    Mac-address static 54-89-98-88-67-9F G0/0/3 vlan 1 将设备的mac地址对应的接口以及vlan id绑定
    这时再查看mac地址表,发现对应的mac地址表显示的是静态mac,这时PC3就不能访问PC1

    实验:基于VLAN进行MAC地址数量学习限制
    SW最多可以学习到两个MAC地址
    在这里插入图片描述

    全局:vlan 1
    Mac-limit maximum 2 alarm(告警) enable 设置SW最多可以学习到两个MAC地址,超过限制进行告警
    PC1 ping PC2 此时SW1上有两个MAC地址表

    MAC地址防漂移实验一:提高接口MAC地址学习优先级
    在这里插入图片描述

    仿冒者还没上线时,SW1上学习到三个mac地址表,分别是PC1(G0/0/2口的5489-9805-1ee0)、PC3、PC4的
    在这里插入图片描述

    当仿冒者上线时,仿冒者(使用的是PC1的MAC地址)首先向PC1攻击,将PC1攻垮后,此时5489-9805-1ee0这个mac地址对应的接口是G0/0/3而不是G0/0/2,这就是MAC地址漂移
    在这里插入图片描述

    解决MAC地址漂移,在SW1的接口G0/0/2上将合法者PC1的优先级提高
    在这里插入图片描述

    此时PC1 ping PC4通,PC2 ping PC4不通,避免了MAC地址漂移

    MAC地址防漂移实验二:MAC地址漂移检测
    在这里插入图片描述

    SW3不给SW2发送BPDU报文
    在这里插入图片描述

    此时SW2的G0/0/2口会变成DP(指定端口),SW2的G0/0/4会变成RP(根端口),此时会导致环路
    此时PC1发送报文ping 192.168.1.100,本应该从G0/0/3口收到的对应的MAC地址54-89-98-83-40-40,此时发现从G0/0/2口收到,导致MAC地址漂移
    如何解决?
    在这里插入图片描述

    此时G0/0/2口down掉,模拟器上是接口越小最先down掉
    此时PC1再次ping 192.168.1.100,此时MAC地址54-89-98-83-40-40对应的接口是G0/0/3
    在这里插入图片描述

    G0/0/2口被down掉,MAC地址漂移被解决掉
    在这里插入图片描述

    实验:端口安全实验
    拓扑图:
    在这里插入图片描述

    Pc间互相访问,使交换机学到mac地址
    在这里插入图片描述在这里插入图片描述

    这时配置的是动态MAC,设备重启会老化
    在这里插入图片描述
    在这里插入图片描述

    将上述安全动态MAC配置为sticky-MAC(特殊的静态MAC)
    在这里插入图片描述
    在这里插入图片描述

    测试1:
    这时断开e0/0/3,将pc3连接到交换机的e0/0/5接口,发现pc3的mac地址对应的还是交换机的0/0/3接口,这时pc3 ping pc4不通,因为pc3的mac地址绑定的是交换机的e0/0/3,而现在连接的是交换机的e0/0/5(违规操作)
    在这里插入图片描述在这里插入图片描述

    测试2:
    将sw1的0/0/3口从pc3转换到连接pc5上,mac地址表仍然不变,0/0/3还是pc3的mac,这时还是不能通信(pc5 ping pc4)
    在这里插入图片描述

    测试3:
    Sw1的0/0/10接口连接pc5,这时pc5可以ping通pc4
    在这里插入图片描述

    Sw2的e0/0/1接口上设置连接的最大mac地址数目为2,保护动作为shutdown
    在这里插入图片描述

    这时sw2的e0/0/1口只能记录两个mac地址,当有第三个mac地址来到时,就将端口down
    在这里插入图片描述在这里插入图片描述在这里插入图片描述

    Undo shutdown后接口mac全部老化,因为是重启设备,sw2上配置的不是安全静态MAC,所以老化

    端口隔离:
    端口隔离可以实现同一vlan内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。为了实现报文间的二层隔离,用户可以将不同的端口加入不同的vlan,但这样会浪费有限的vlan资源。采用端口隔离功能,可以实现同一vlan内端口之间的隔离。用户只需要将端口加入到隔离组,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案
    Pc1-pc3同属于vlan10,将pc1与pc2对应的端口0/0/1和0/0/2加入到同一个端口隔离组后,pc1与pc2在vlan10内不能互访,pc1与pc3,pc2与pc3之间可以互访,默认基于二层隔离,三层还是可以互通
    端口隔离可以分为双向隔离和单向隔离
    双向隔离pc1 ping pc2不通,pc2 ping pc1不通
    单向隔离:pc1 ping pc2不通,pc2 ping pc1通
    在这里插入图片描述

    实验:拓扑图
    在这里插入图片描述

    将接口0/0/1和0/0/2加入隔离组,pc1 ping pc2不通,pc1 ping pc3通,pc2 ping pc3通
    Sw1:interface e0/0/1
    Port-isolate enable group1 将接口加入隔离组1(默认enable后就是隔离组1,不用写也行,隔离组编号1-64)
    interface e0/0/2
    Port-isolate enable group1 将接口加入隔离组1(默认enable后就是隔离组1,不用写也行,隔离组编号1-64)
    在这里插入图片描述

    测试:默认二层隔离,三层互通
    在这里插入图片描述在这里插入图片描述

    设置隔离模式为二层还是全部(包括三层)
    全局:port-isolate mode l2/all

    查看隔离组信息:
    display port-isolate group

    广播(目的地址为全f),未知组播,未知单播(交换机收到后查找mac地址表发现没有对应的单播或组播mac地址)交换机会泛洪

    流量抑制与风暴控制:
    流量抑制和风暴控制是两种用于控制广播、未知组播以及未知单播报文,防止这三类报文引起广播风暴的安全技术。其中,未知单播报文是指目的MAC地址未被设备学习到的单播报文。
    流量抑制主要通过配置阈值来限制流量,而风暴控制则主要通过关闭端口来阻断流量。在一个检测时间间隔内,设备监控接口下接收的三类报文的平均速率并和配置的最大阈值相比较,当报文速率大于配置的最大阈值时,设备会对该接口进行风暴控制。
    设备在检测单播报文时,不区分未知单播报文和已知单播报文,统计的报文速率是未知单播报文和已知单播报文共同的速率。但当风暴控制动作为阻塞报文时,设备仅对未知单播报文进行阻塞。组播报文的原理同单播报文。
    在这里插入图片描述

    Min-rate:最低的阈值
    Max-rate:最大阈值
    Pps:网络吞吐量,表示设置的阈值的单位
    风暴控制的动作有两种:block(阻塞,超过阈值的范围后多余的包丢弃)、shutdown(关闭)
    风暴控制的检测时间是90s(下图)
    Display storm-contral interface e0/0/1 查看风暴控制的设置
    在这里插入图片描述在这里插入图片描述

    展开全文
  • 一、实验拓扑图: 二、实验要求: ...3.将S1交换机的E0/0/1端口开启安全检测功能,并配置StickyMAC功能。 4.从PC1PINGPC2,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台...
    • 一、实验拓扑图:

                         

    • 二、实验要求:

    1.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。
    2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?
    3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
    4.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
    5.从PC2 PING PC3,能否PING通?WHY?(NO)
    6.20秒内分别从PC1 PING PC2 ,PC3 PING PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
    7.20秒内分别从PC1 PING PC2 ,PC3 PING PC2,能否PING通?WHY?(3 to 2, NO)
    8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)
    9.从PC5 PING PC1 ,PC3 PING PC1,能否PING通?WHY?(3 to 1, NO)
    10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否PING通。(YES)
    11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 PING PC1,查看效果。
    12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。
    13.从PC5 PING PC1、2、3、4,查看通信情况。

    • 三、配置命令与原因分析:

    1.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。

    2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?

    S1命令:mac-address aging-time 20
    S2命令:mac-address aging-time 20

    发现:20秒过后S1和S2交换机的mac地址表已经清空了,只有S3的mac地址表的动态mac地址的老化时间还没结束,所以mac地址表中依然存在该表项。

    3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。

    S1命令:
    interface Ethernet0/0/1
    port-security enable
    port-security mac-address sticky
    

    4.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。

    5.从PC2 PING PC3,能否PING通?WHY?(NO)

    原因:S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能,但是没有配置动态安全mac地址学习限制数量,因为默认情况下动态安全mac地址学习限制数量为1,所以pc2 ping pc3的数据帧就被丢弃掉了,因此不能够ping通。

    6.20秒内分别从PC1 PING PC2 ,PC3 PING PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。

    20秒前:

    20秒后:

    S2交换机mac地址表为空,这里就不截图了。

    对比后发现出现差别的原因:因为S1和S2都配置了mac地址老化时间为20秒,而S3是默认300秒,所以20秒前所有交换机都能看到该有的表项。然后,S1配置了sticky mac地址,所以20秒后S1的mac地址表中还存在sticky mac地址表项,动态mac地址表项就消失了,而S2交换机上全都是动态mac地址表项,所以20秒后就全消失了,S3默认配置,所以还没老化,也就还有所有mac表项。

    7.20秒内分别从PC1 PING PC2 ,PC3 PING PC2,能否PING通?WHY?(3 to 2, NO)

    原因:PC3 ping PC2不通的原因跟第5题一样,这里就不在赘述。

    8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)​​​​​​​

    S1命令:
    #
    interface Ethernet0/0/2
     port-security enable
     port-security mac-address sticky
    port-security mac-address sticky 5489-98EF-4055 vlan 1
    #

    9.从PC5 PING PC1 ,PC3 PING PC1,能否PING通?WHY?(3 to 1, NO)

    原因:PC3ping PC1不通的原因也是只配置了e0/0/2接口的sticky Mac功能,没有配置动态安全mac地址学习限制数量,因为默认情况下动态安全mac地址学习限制数量为1,所以pc3 ping pc1的数据帧就被丢弃掉了,因此不能够ping通。

    10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否PING通。(YES)

    S1命令:
    #
    interface Ethernet0/0/2
    port-security max-mac-num 2
    #

    配置S1交换机的E0/0/2端口安全MAC地址数量为2后都能ping通了,证明前面分析是对的。

    11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 PING PC1,查看效果。​​​​​​​

    S1命令:
    #
    interface Ethernet0/0/2
    port-security protect-action shutdown
    #

    效果如下:PC4 ping不通PC1并且S1交换机的2端口down掉了

    12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。

    S1命令:
    #
    interface Ethernet0/0/1
    port-security max-mac-num 2
    #
    interface Ethernet0/0/2
    port-security max-mac-num 3
    #

    13.从PC5 PING PC1、2、3、4,查看通信情况。​​​​​​​

    全部能ping通,因为第12题将交换机的两个接口的安全MAC地址数量调整为与PC个数一致,所以都能实现通信,此后,如果在Mac地址老化时间之内有别的PC接入,那么接入的这台PC所发送的数据帧将被丢弃,并且执行相应的保护动作。

    展开全文
  • 华为交换机安全配置

    2018-12-11 17:56:44
    华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
  • 端口安全简介 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。 端口...

    端口安全简介

    端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。

    端口安全原理描述

    通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。

    安全MAC地址的分类

    安全MAC地址分为:安全动态MAC与Sticky MAC。

    类型

    定义

    特点

    安全动态MAC地址

    使能端口安全而未使能Sticky MAC功能时转换的MAC地址。

    设备重启后表项会丢失,需要重新学习。

    缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。

    Sticky MAC地址

    使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。

    不会被老化,手动保存配置后重启设备不会丢失。

    表1 安全MAC地址的说明

    未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。

     

    超过安全MAC地址限制数后的动作

    接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

    动作

    实现说明

    restrict

    丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。

    说明:

    设备收到非法MAC地址的报文时,每30s至少告警1次,至多告警2次。

    protect

    只丢弃源MAC地址不存在的报文,不上报告警。

    shutdown

    接口状态被置为error-down,并上报告警。

    默认情况下,接口关闭后不会自动恢复,只能由网络管理人员执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。

     

    端口安全缺省配置

    介绍端口安全的缺省配置。

    参数

    缺省值

    端口安全功能

    未使能

    端口学习的安全MAC地址数

    1个

    达到安全MAC地址数后的保护动作

    restrict:丢弃源MAC地址不存在的报文并上报告警

    安全MAC老化时间

    不老化

    实验拓扑:

    PC1:

    PC2:

    具体步骤:

    1.测试安全动态MAC地址的学习

    首先没有进行任何配置,让双方进行通信,然后在交换机上查看对应的MAC地址表:

    然后在接口上开启安全动态MAC地址的功能,配置:

    interface GigabitEthernet0/0/1

    port-security enable

    重新进行PC1和PC2的通信:

    发现原来的动态MAC地址被覆盖变为了动态安全MAC地址,如果在接口上原来配置的是普通静态MAC地址,如果开启了安全功能,静态地址不会进行类型的转换,但是却具有了相应安全接口的特性。

    然后检查安全端口的特性,我们将PC1的MAC地址进行修改:

    然后用PC1pingPC2,发现ping不通,说明安全端口起作用了。

    并且弹出了 警告(安全接口的模拟保护模式是限制):

    然后修改其学习的最大的安全MAC地址数量:

    interface GigabitEthernet0/0/1

    port-security max-mac-num 2 //进入接口,设置最大学习的MAC地址为2

    用修改了MAC地址的PC1去pingPC2,观察结果:

    已经可以通信了,在交换机上查看对应的MAC地址表,发现安全地址已经从原来的1个变为现在的两个了,说明修改最大的安全MAC地址学习数量成功。

    2.测试Sticky MAC地址的学习,首先配置动态学习的Sticky MAC,配置:

    interface GigabitEthernet0/0/2 //进入接口

    port-security enable //开启粘性MAC地址之前需要开启安全接口的功能

    port-security mac-address sticky //然后将接口转换为粘性MAC地址的接口

    然后用PC2pingPC1:(发现在g0/0/2上有了粘性的MAC地址)

    注意:安全地址开启后学习到了动态安全MAC地址,如果再在此接口上开启粘性功能,其动态安全MAC地址直接转换为粘性MAC地址,并且undo掉此功能后,粘性MAC地址自动消失(动态MAC地址也会自动消失)。

    展开全文
  • 华为交换机配置接口安全

    千次阅读 2020-03-24 21:27:32
    华为交换机端口安全 session 1 端口安全 在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容...
  • 配置华为防火墙端口映射

    千次阅读 多人点赞 2021-08-07 20:23:35
    Web配置防火墙安全策略: 如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量 命令配置防火墙安全策略: [FW1]nat server policy_nat_server zone untrust protocol tcp global 202.1.1.1 80 inside ...
  • 华为设备端口操作命令

    千次阅读 2021-10-25 19:53:15
    1.配置端口组 [Huawei]port-group group-member g 0/0/1 to g 0/0/3 //将端口加入临时端口组 [Huawei]port-group a1 //创建永久端口组 [Huawei-port-group-a1]group-member g 0/0/4 to g 0/0/6 //将端口加入永久端口...
  • 华为HCIE认证中端口安全sticky方式基本配置端口安全经常使用在接入层,通过配置端口安全可以防止仿冒用户从其他端口攻击,或者汇聚层,通过配置端口安全可以控制接入用户的数量。 针对接入用户安全性要求较高的网络...
  • 1.端口安全简介 端口安全(PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。 2端口安全...
  • 华为端口隔离实现原理及配置命令

    千次阅读 2020-08-12 15:56:22
    端口隔离具有很多优点,在某些场景中可以用来提高网络安全性能,也可以用来隔离广播报文。本文将详细介绍华为设备的端口隔离,希望读完后能让您有所收获
  • 华为交换机安全端口实验

    千次阅读 2020-12-13 13:42:48
    将设备端口学习到的MAC地址变为安全MAC地址(分为两类:安全动态MAC地址和Sticky安全地址,这两类地址是设备信任的地址),以阻止除了安全动态MAC和静态MAC之外的主机通过本接口和交换机通信。 安全MAC地址类型: 1....
  • 阿里云/腾讯云/华为安全配置开放端口1. 阿里云安全端口开放教程1.1 进入配置规则1.2 添加安全组规则1.2.1 规则填写说明2. 腾讯云安全端口开放教程2.1 进入安全组2.2 添加安全组规则2.2.1 配置说明3. 华为云...
  • 2.解决汇聚层非法用户接入方案:在交换机上配置接口的最大mac学习数量 对于超出安全mac地址 restrict 丢弃源mac地址不存在的报文并上报告警 protect 只丢弃源mac地址不存在的报文,不上报告警 shutdown ...
  • 华为 eNSP 端口安全综合

    千次阅读 2020-10-01 17:34:26
    端口隔离实验 注意:这里的三台PC机,就添加相应的IP地址即可,不需要添加其他,遵循一一对应原则。 未添加端口隔离命令之前,三台PC机相互测试 得出结论: 能够相互ping通,能够正常通信。...端口安全实验 ...
  • 华为云ESC服务器安全端口配置

    千次阅读 2022-01-15 16:53:50
    1.是以服务器所在机房为单位归类,不同机房的安全组规则不互通,且管理格式略有差异(如列名顺序不同,贵阳机房可以多配置优先级等)。 2.webservice类的端口如果未开放,是无法通过浏览器访问的。 ...
  • 华为安全端口设置官方文档: 华为云添加安全组 一、找到需要添加安全组的服务器 二、添加入站规则 华为云主机安全端口开放教程到这里就结束了 【安全端口放行教程汇总】 阿里云设置安全组(端口)...
  • 华为防火墙安全设置

    2021-04-21 20:40:18
    一、暴力破解发现 在4月1号查看防火墙日志中发现,有不明地址源在异地登录防火墙,多次尝试通过SSH登录并... (比如将防火墙web登录8443端口改为8088端口) 3、限制登录防火墙web的网段---可防止内网非管理网...
  • 交换机端口镜像配置华为、华三)端口镜像应用场景设定华三交换机配置端口镜像华为交换机配置端口镜像 端口镜像应用场景设定 某企业近期为了加强网络安全防护,新购置了一台IDS网络安全检测设备,IDS检测设备的配置...
  • 路由器有一两台三四台的情况下可以进行静态路由配置,如果路由器多了的话如果在配置静态路由就会很麻烦,还要一台一台的去配置,这...首先打开华为模拟器,拖入两个路由器,用线连接后配置端口的IP地址 如下图: ...
  • 一、端口隔离--port-isolate 组网需求 如图1所示,要求PC1与PC2之间不能互相... # 配置端口隔离模式为二层隔离三层互通。 &lt;Quidway&gt; system-view [Quidway] port-isolate mode l2   #...
  • 一直在想要不要把锐捷的命令整理出来,其实锐捷的命令和思科的基础命令是一样的,只要熟悉 思科命令,那么锐捷的命令基本上是没有问题的。但是有好多的粉丝私信我想要一份,我就...一、基础配置命令1、准备命令 wri...
  • 华为a1路由器可以设置端口触发规则,也可以设置端口映射规则,前者小编已经和大家聊过,今天再来聊聊怎么设置端口映射规则,如果您感兴趣的话那就快来看看吧!设置端口映射规则步骤第一步:电脑连接到路由器的 Wi-Fi...
  • 对于特定的端口还是无法访问,首先要检查是否配置这个端口对外开放了。 我用的是华为云服务器, 更改安全组。 在里面添加自己需要用到的端口。 ...
  • 今天我们以华为路由WS5200为例,来说明大多数路由器都具备的端口映射功能设置方法,打开这个功能后,系统可以将路由器 WAN IP 的一个端口映射到局域网中的一台计算机上。下面是具体的操作步骤!华为路由器端口映射...
  • ensp-配置交换机端口安全

    千次阅读 2021-05-06 15:21:16
    拓扑图如下: 1,配置主机IP 2,配置交换机端口安全 3,用PC1去pingPC2和PC3 4,交换pc1机与pc2机的直通线 4,在pc1机上ping pc2机与pc3机发现交换机原E0/0/2端口关闭(PC2无法接入交换机)
  • 端口安全原理介绍及配置命令

    千次阅读 2021-06-25 09:37:49
    可在端口上配置端口安全技术,使该端口只允许特定的设备访问。 端口安全技术通过MAC地址定义了允许访问的设备。 允许访问的设备的MAC地址可以手工配置或通过交换机自动“学习”。 端口上能配置的安全MAC...
  • 很多人朋友多次问到华为交换机的配置,确实用的比较多,上次我们有单独提到h3c交换机的配置,今天我们来了解下华为交换机的配置,以及以太网的三种链路方式。为了让大家更加清楚,每行代码都有解释。一、华为交换机...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 18,724
精华内容 7,489
关键字:

华为端口安全配置