精华内容
下载资源
问答
  • 交换机工作原理及端口安全配置
    千次阅读
    2019-12-10 21:21:19

    相关概念认识

    交换机是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。交换机工作于OSI参考模型的第二层,即数据链路层。
    冲突域
    冲突域是数据必然发送到的区域。
    HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。
    交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。
    广播域
    广播数据时可以发送到的区域是一个广播域。
    交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。
    路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。

    交换机工作原理

    1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。(学习)
    2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。(转发)
    3.如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。这一过程称为泛洪(flood)。(广播)
    4.更新(老化时间300s)交换机如果发现一个帧的入端口和MAC地址表中源MAC地址的所在端口不同,交换机将MAC地址重新学习到新的端口。
    一句话总结:根据MAC地址表转发数据帧,如果地址未知,则广播。

    交换机主要作用:分割冲突域,实现全双工通信,存储,过滤转发

    交换机端口安全

    为了防止新加的设备对交换机进行操作,所以需要对交换机的端口进行安全属性的配置,从而控制用户的安全接入。具体有两种方法,一是限制交换机端口的最大连接数,从而控制交换机端口下链接的主机数。二是针对交换机端口进行mac地址,ip地址的绑定,从而实现用户的严格控制。
    对安全违例的处理方式有以下3种。
    ① protect 当安全地址个数满后,安全端口将丢弃未知名的地址包
    ② restrict 当违例产生时,将发送一个Trap通知
    ③ shutdown 当违例产生时,将关闭端口并发送一个Trap通知
    交换机端口安全功能只能在Access接口进行配置

    switch>enable
    switch#config terminal
    switch(config)#int fastethernet 0/1
    switch(config-if)#speed 100                 /设置fastethernet0/1端口速率为10Mbit/s
    switch(config-if)#duplex full               /设置fastethernet0/1端口为全双工
    switch(config-if)#no shutdown              /启用端口
    switch(config-if)#switchport mode access     /设置当前端口为Access
    Switch(config-if)#switchport port-security     /打开当前端口安全功能
    Switch(config-if)#switchport port-security maximum 1    /设置端口安全地址的最大个数
    Switch(config-if)#switchport port-security mac-address 0001.C7E9.6EC0   /绑定mac地址
    Switch(config-if)#switchport port-security violation shutdown   /配置处理违例的方式
    

    (shutdown中断开的是逻辑连接,物理连接依然开启。所以要重启断开要先关闭物理连接【shutdown】在开启物理连接【no shutdown】就可以了)

    在一个简单的交换式网络中,交换机所有端口默认情况都在一个网络(vlan1),只要将电脑连接到交换机并配置同一个网络内地址,就可以进行通信。

    交换机分类:傻瓜交换机、可管理型交换机(二层)、三层交换机(带路由功能)

    更多相关内容
  • 交换网络端口安全应用实例.docx
  • 安全的路由交换--端口安全

    千次阅读 2019-05-31 00:15:09
    此文章是关于在思科交换机上启用交换机端口安全特性,起到防止mac地址欺骗和mac地址泛洪的作用 实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc) eve软件的使用,请移步到这...

    2019/5/30 - - -

    此文章是关于在思科交换机上启用交换机端口安全特性,起到防止mac地址欺骗和mac地址泛洪的作用

    实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc)
    eve软件的使用,请移步到这篇文章,点击此链接–>《eve的使用》

    实验拓扑

    在这里插入图片描述

    实验配置

    首先使用连接工具连接设备
    在这里插入图片描述端口安全配置

    防止mac地址泛洪的配置

    思路:限制mac地址的数量,配置接口允许的最大活跃地址数量
    用到来模拟的设备:switch、pc-1、pc-2

    switch上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.100 255.255.255.0 给switch的vlan 1 配置一个IP地址
    no shutdown 开启
    exit 退回到全局模式
    interface e0/1 由全局模式进入要做端口安全的e0/1端口
    switchport mode access 设置为模式为access
    do show interfaces e0/1 switchport 查看接口模式,是否为access模式
    switchport port-security 启用端口安全

    注:启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入(Access)或干道(Trunk)模式

    switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
    switchport port-security violation restrict 自己可进行选择,这里配置为restrict

    三种违规后的模式:
    shutdown :端口成为err-disable 状态,相当于关闭端口,默认处理方式。
    protect :将违规的MAC地址的分组丢弃,但端口处于up状态,交换机不记录违规分组。
    restrict:将违规的mac地址的分组丢弃,但端口处于up状态,交换机记录违规分组。

    switchport port-security maximum 数目 配置接口允许的最大活跃地址数量(默认允许的mac地址数目为1个)
    switchport port-security maximum 2
    这里设置为2个,pc-1的e0/1一个mac地址,加上vlan 1 一个mac地址
    此时,pc-1是可以ping通switch的,而pc-2是不可以ping通switch的,因为限定mac地址数目的数量正好限制了pc-2,
    如果想要pc-2可以ping通,可以把mac地址数目的数量修改的大一点,就发现可以ping通了。
    do show mac address-table 查看mac地址与端口的对应关系
    do show port-security interface e0/1 查看端口安全的行为(属性),最后一行是记录的违规次数。

    扩展:
    如果违规模式设置为了shutdown模式,一旦违规,端口会成为err-disable状态,相当于关闭端口,默认处理方式
    开启方法:
    第一种手动开启
    shutdown
    no shutdown
    第二种自动开启
    设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复
    errdisable recovery cause psecure-violation
    errdisable recovery interval 时间(s/秒,可以调整在30-86400秒,缺省是300秒)

    pc-1上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/1 进入与switch相连的接口
    spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
    switchport mode access 配置静态
    no spanning-tree vlan1 关闭vlan1的生成树
    vtp mode transparent 配置为透明模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.1 255.255.255.0 给pc-1的vlan 1 配置一个IP地址
    no shutdown 开启
    do ping 192.168.1.100 ping一下switch

    pc-2上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/2 进入与pc-1相连的接口
    spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
    switchport mode access 配置静态
    no spanning-tree vlan 1 关闭vlan1的生成树
    vtp mode transparent 配置为透明模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.2 255.255.255.0 给pc-2的vlan 1 配置一个IP地址
    no shutdown 开启
    do ping 192.168.1.100 ping一下switch

    防止mac地址欺骗的配置

    思路:配置静态mac地址的绑定、防止外来人员假冒。为防止真实环境中手工绑定静态mac地址的工作量增大,配置端口安全的粘连特性,将交换机学习到的mac地址加入到运行配置中,形成绑定关系
    用到来模拟的设备:switch、pc-3

    switch上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/0 由全局模式进入要做端口安全的e0/0端口
    switchport mode access 设置为模式为access
    do show interfaces e0/0 switchport 查看接口模式,是否为access模式
    switchport port-security 启用端口安全
    switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
    switchport port-security violation restrict 自己可进行选择,这里配置为restrict
    switchport port-security mac-address mac地址 配置静态绑定的mac地址,此mac地址为pc-3上与switch相连e0/0的mac地址
    switchport port-security mac-address sticky 配置端口安全的粘连特性
    do show mac address-table 查看mac地址与端口的对应关系
    do show port-security interface e0/0 查看端口安全的行为(属性),最后一行是记录的违规次数。

    pc-3上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/0 由全局模式进入要做端口安全的e0/0端口
    ip address 192.168.1.3 255.255.255.0 给pc-3配置一个ip地址
    no shutdown 开启
    此时pc-3来ping switch 是通的
    show interfaces e0/0 查看一下mac地址
    mac-address mac地址 修改mac地址
    mac-address aabb.cc00.3001 这里原来的mac地址为aabb.cc00.3000 ,现在改为aabb.cc00.3001
    做了手动静态mac地址绑定后,修改完mac地址再去ping switch,会发现不通了。
    做了粘连特性后,再去ping,会发现又是通的,如果不通,就把e0/0的最大连接数的mac地址数目设的大一点,会发现ping通了。

    扩展:
    配置端口安全的老化时间,让交换机删除一段时间内没有流量的mac地址
    switchport port-security aging time 10 (1~1440分钟)
    switchport port-security aging type 模式
    absolute 参数为老化时间到期后,删除所有mac地址并重新学习,默认值
    inactivity 参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其mac地址从地址表中删除

    默认情况下静态绑定的mac地址并不受老化时间的影响,Cisco 交换机也可让静态绑定的mac地址老化
    switchport porti-security aging static

    展开全文
  • 思科端口安全

    2013-04-07 15:59:40
    思科交换/路由基础配置,端口安全 链路聚合 实例详解
  • 交换机的端口安全

    千次阅读 2020-03-26 17:57:23
    交换机的端口安全 本篇讲一下交换机的端口安全,虽然简单,但是在生活的运用极为常见,可以有效的保护我们的网络的安全。 端口安全 端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表...

    交换机的端口安全

    本篇讲一下交换机的端口安全,虽然简单,但是在生活的运用极为常见,可以有效的保护我们的网络的安全。

    端口安全

    端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。
    常见的端口安全有绑定其MAC地址,只允许本台物理设备访问网络,一般安全性较高的公司不允许私人电脑连接公司内网,即使连接上也是无法访问网络的。也有的限制其最大的连接数,当超过一定数量的MAC地址时,自动关闭端口来保护网络,这两种方法都能有效的防止MAC欺骗和泛洪攻击。

    配置命令

    SW1(config)#interface f0/1 //进入端口模式
    SW1(config-if)#switch mode access //把端口改为访问模式
    SW1(config-if)#switch port-security //打开交换机的端口安全功能
    sw03(config-if)#switch port-security maximum 3 // 设置端口上的最大同时连接数为 3
    R10(config-if)#mac-address 3.3.3 //修改MAC地址
    SW1(config-if)#switchport port-security violation restrict //修改violation方式为restrict 默认shutdown,还有protect模式可选。
    SW1(config-if)#switchport port-security mac-address 7.7.7 //将路由器f0/0 的mac地址绑定,静态绑定MAC地址

    实例举例

    在这里插入图片描述
    环境:R9、R10模拟PC,保证R9与R10能够互相通信,SW1作为交换机。
    需求1:使用交换机端口安全技术,使得当R9的mac地址发生变化时,R9无法再次ping通R10。改回原来mac地址,恢复通信。
    需求2:设置交换机e0/1端口上的最大同时连接数为 3,当连接数超过3时,R9无法与10通信。
    需求3:修改violation方式,将SW1的e0/0修改成restrict,并且绑定mac地址7.7.7,将e0/1修改成protect,并且绑定mac地址8.8.8。

    配置:
    底层配置,配置IP地址,这里不再介绍。
    需求1:
    先来看没配置之前的情况,SW1正常学习到R9与R10的mac地址,可以正常通信。
    在这里插入图片描述
    配置端口保护:
    SW1(config)#interface f0/1 //进入端口模式
    SW1(config-if)#switch mode access //把端口改为访问模式
    SW1(config-if)#switch port-security //打开交换机的端口安全功能

    配置完成,我们修改R9的mac地址
    R11(config)#int e0/0
    R11(config-if)#mac-address 1.1.1
    这时候我们来查看访问情况和mac地址表
    在这里插入图片描述
    在这里插入图片描述
    可以看到,现在R9已经ping通不了R10了,SW1的mac地址也随之变化,新的mac地址也无法被交换机学到。
    现在,我们把mac地址重新改回来。
    R11(config)#int e0/0
    R11(config-if)#mac-address aabb.cc00.9000
    这时候我们会发现还是没有变化,理由是由于端口安全的配置,导致接口现在是err-disabled的双down情况,所以需要我们将接口shutdown,再 no shutdown 。
    在这里插入图片描述
    SW1(config)#int e0/1
    SW1(config-if)#shutdown
    SW1(config-if)#no shutdown

    这时后我们再来查看访问和mac地址表,
    在这里插入图片描述
    在这里插入图片描述
    成功恢复通信,到此,需求1满足需求。

    需求2:
    SW1(config)#int e0/0
    SW1(config-if)#switch mode access //把端口改为访问模式
    sw03(config-if)#switch port-security
    sw03(config-if)#switch port-security maximum 3 设置端口上的最大同时连接数为 3

    配置完成,我们在R10修改mac地址为2.2.2和3.3.3
    R10(config-if)#mac-address 2.2.2
    R10(config-if)#mac-address 3.3.3
    此时来查看交换机MAC地址表
    在这里插入图片描述

    此时有MAC地址表有只有3个连接数,还是可以实现访问通信。
    在这里插入图片描述

    再在R10修改mac地址为4.4.4
    R10(config-if)#mac-address 4.4.4
    此时来查看访问和MAC地址表,mac地址连接数已经超过了3个,所以触发端口安全,使得R9无法访问R10。
    在这里插入图片描述
    在这里插入图片描述

    到此,满足需求2的要求。

    需求3:
    SW1(config)#int e0/0
    SW1(config-if)#switchport port-security violation restrict //修改violation方式为restrict
    SW1(config-if)#switchport port-security mac-address 7.7.7 //然后将路由器f0/0 的mac地址绑定
    SW1(config)#int e0/0
    SW1(config-if)#switchport port-security violation protect //修改violation方式为protect
    SW1(config-if)#switchport port-security mac-address 8.8.8 //然后将路由器f0/0 的mac地址绑定

    到此,满足全部需求。
    补充:
    1、protect 模式,当违规时,只丢弃违规的数据流量,不违规的正常转发,而且不会通知有流量违规,也就是不会发送SNMP trap ;
    2、restrict , 当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知,发送SNMP trap,并且会记录日志;
    3、shutdown,这个是默认模式,当违规时,将接口变成error-disabled并shut down,并且接口LED灯会关闭,也会发SNMP trap,并会记录syslog。

    展开全文
  • 统一分发管理IP地址DHCP的工作过程DHCP地址续约DHCP中继3、DHCP攻击(1)DHCP snooping --防止dhcp攻击DHCP snooping的配置(2)ARP欺骗ARP欺骗的配置(3)源地址保护源地址保护的配置4、端口安全端口安全的配置5、...

    1、端口镜像:SPAN

    端口镜像(port Mirroring)功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。

    端口镜像的配置:

    [r1]observe-port interface GigabitEthernet 0/0/2   监控接口
    
    [r1]interface GigabitEthernet 0/0/0
    [r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口
    [r1-GigabitEthernet0/0/0]int g0/0/1
    [r1-GigabitEthernet0/0/1]mirror to observe-port inbound
    

    G0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析;

    在华为设备中通过镜像端口来配置路由策略管理端口
    在这里插入图片描述

    C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略;

    2、DHCP 动态主机配置协议 统一分发管理IP地址

    DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,还需要管理员手动安装并进行必要的配置。

    DHCP的基本工作过程如下所示
    在这里插入图片描述

    DHCP的工作过程

    DHCP基于传输层 67 68 端口号

    (1)主机发送DHCP的Discover请求包:三层(源IP0.0.0.0 目标IP255.255.255.255;源MAC=PC,目标MAC全F) 通过广播发给服务器;第四层DHCP基于67 68 传输层;五层 应用层有一张调查问卷问题表空着的表 发给服务器 广播
    (2)服务器发送offer包给PC;服务器将发送来的空表填上;(源IP 服务器自己,目标IP 255.255.255.255;源MAC 服务器,目标MAC 全F)单播
    (3)主机向服务器发送Request请求包,表示接受该offer; 广播
    (4)服务器向主机发送ack确认包;单播

    服务器发送offer包会向主机发送一个ARP包,表示该地址有无使用,如果没有相应,表示该地址可以offer可以发送

    DHCP地址续约

    DHCP的续约:
    (1)DHCP 客户端发送 DHCP
    (2)dhcp后会发生ARP包,做地址冲突检测用,看IP是否可用
    (3)dhcp中PC机发送3次无回应后,自动分配一个169的地址;
    在一个网段内是基于MAC通讯

    DHCP的获取到IP后会有租约情况,当DHCP租约到期后会有
    在这里插入图片描述

    DHCP中继

    DHCPRelay(DHCPR)DHCP中继(也叫做DHCP中继代理)其可以实现在不同子网和物理网段之间处理和转发dhcp信息的功能。
    如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。
    华为设备中的DHCP中继配置
    在这里插入图片描述

    3、DHCP攻击

    原理:
    DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户端分发IP地址,从而来实现中间人攻击。

    DHCP没有认证机制,并不知道接收到的报文是否是同一个主机发送的,所以攻击者可以使用以下两种方式进行攻击。
    (1)攻击者发送大量的DHCP Discover报文,堵塞DHCP服务器处理速度,以至于瘫痪DHCP服务器。
    (2)制造大量的伪造MAC地址来请求地址,导致DHCP服务器中的IP地址耗尽。

    (1)DHCP snooping --防止dhcp攻击

    防止DHCP的仿冒: (在交换机上进行的配置)

    DHCP snooping的配置

    [r1]dhcp enable  //交换机开启dhcp服务
    [r1]dhcp snooping enable    //全局下先开启DHCP snooping 功能
    [r1]interface GigabitEthernet 0/0/1
    [r1-GigabitEthernet0/0/1]dhcp snooping enable   //所有接入层接口配置
    

    配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;

    之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作;

    [r1-GigabitEthernet0/0/10]dhcp snooping trusted   //在信任的接口信任
    

    (2)ARP欺骗

    (ARP spoofing)
    ,又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。

    在华为设备中开启dhcp功能和DHCP snooping后,交换机中将产生一个记录列表;记录所有接口ip地址的获取情况;
    例:SW1的g0/0/1连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1的mac,获取的ip地址,vlan ….
    该记录列表最大的意义是用于防止ARP欺骗攻击:
    因此可以在交换机上开启ARP欺骗防御

    ARP欺骗的配置

    [r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御
    

    当某一个接口下的pc进行ARP应答时,若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发;

    还可以开启源地址保护

    (3)源地址保护

    源地址保护的配置

    [r1-GigabitEthernet0/0/10]ip source check user-bind enable
    —该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发;

    4、端口安全

    端口安全—解决更换MAC来不停请求ip地址,导致DHCP池塘枯竭;还可以防止MAC地址攻击;

    交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min)
    PC等终端设备默认存储ARP表格为2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题—处理方案洪泛
    因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击
    依赖端口安全进行保护:

    端口安全的配置

    [sw1-Ethernet0/0/4]port-security  enable  开启端口安全(开启端口安全默认允许一个MAC)
    [sw1-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量
    [sw1-Ethernet0/0/4]port-security protect-action ?
      protect   Discard packets           丢弃 – 不告警
      restrict  Discard packets and warning  丢弃—告警  (默认)
       shutdown  Shutdown   丢弃--关闭接口 –必须管理员手工开启
    [sw1-Ethernet0/0/4]port-security aging-time 300  老化时间
    

    以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源mac地址;
    其他mac将不能通过;若300s内,该记录mac没有再经过过该接口,将刷新记录;
    设备重启或接口关闭再开启也将刷新记录;

    [sw1-Ethernet0/0/4]port-security mac-address sticky   --粘粘MAC(不老化)
    

    自动记录通过该接口传递的mac地址,但记录后将永不删除
    也可手工填写

    [sw1-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1
    

    5、SSH —安全的Telnet行为

    Telnet远程登录—基于tcp的23号端口工作;数据被明文传输;
    SSH也是远程登录—基于TCP的22号端口工作,数据包安全保障传输;基于RSA进行加密
    存在版本V1/V2两种-实际版本号大于1小于2均为V2;目前SSH使用V2版本;

    开启STelnet的配置

    开启SSH的功能

    [R2]stelnet server enable  开始ssh  
    [R2]rsa local-key-pair create       秘钥生成 
    [R2]ssh user huawei authentication-type password 123456 定义ssh基于秘钥来加解密
    

    配置登录信息

    
    [R2]aaa
    [R2-aaa]local-user huawei password cipher huawei   
    [R2-aaa]local-user huawei  service-type ssh
    
    [R2]user-interface vty 0 4
    [R2-ui-vty0-4]authentication-mode aaa
    [R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录
    

    若使用华为的设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh 客户端功能

    [r1]ssh client  first-time enable
    

    登录命令

    [r1]stelnet 192.168.1.1
    

    6、端口隔离

    端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

    端口隔离的配置

    [sw1]interface Eth0/0/5
    [sw1-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离
    
    展开全文
  • 华为端口安全

    千次阅读 2021-04-02 15:41:06
    当主机C断开连接,默认交换机会删除接口对应的MAC地址,开启了端口安全后,主机C断开后你不允许其他主机接入,这种地址叫做安全MAC地址 在交换机上还可以设置允许接入的最大MAC地址数量,学习到的MAC地址都与g0/0/1...
  • 端口安全和端口隔离

    万次阅读 多人点赞 2018-05-21 13:19:30
    端口安全简介: 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。 ...
  • 这种突破性的集成为OEM和ODM提供了富有特性的片上系统(SoC)解决方案,它不仅降低了现有网络管理智能交换系统设计所需的有源元件数量,而且能连续提供下一代安全性和质量服务(QoS)性能.   16端口SparX-G16和24端口...
  • 端口安全原理介绍及配置命令

    千次阅读 2021-06-25 09:37:49
    可在端口上配置端口安全技术,使该端口只允许特定的设备访问。 端口安全技术通过MAC地址定义了允许访问的设备。 允许访问的设备的MAC地址可以手工配置或通过交换机自动“学习”。 端口上能配置的安全MAC...
  • 交换机端口安全技术的配置 Cisco

    千次阅读 2020-03-18 20:19:37
    实验目的:掌握交换机的端口安全功能,控制用户的安全接入 实验背景:公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用、冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,...
  • 端口安全特性相关

    千次阅读 2020-03-04 12:22:21
    端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口...
  • 配置交换机端口安全实验

    千次阅读 2020-05-21 17:22:44
    交换机的端口安全配置 实验目的 掌握交换机的端口安全功能,控制用户的安全接入 实验拓扑 实验原理 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有...
  • ensp-配置交换机端口安全

    千次阅读 2021-05-06 15:21:16
    拓扑图如下: 1,配置主机IP 2,配置交换机端口安全 3,用PC1去pingPC2和PC3 4,交换pc1机与pc2机的直通线 4,在pc1机上ping pc2机与pc3机发现交换机原E0/0/2端口关闭(PC2无法接入交换机)
  • ACL交换机安全端口.ppt

    2020-09-18 20:30:03
    一交换机安全端口 1.1 交换机安全端口概述 交换机可以通过限制允许访问交换机上某个端口的 MAC 地址以及 IP 地址可选来实现严格控制对该端口的输入当为安全端口打开了 端口安全功能并配置了安全地址后除了源地址为...
  • 利用交换机的端口安全功能,防止局域网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。  交换机端口安全的基本功能 1、限制交换机端口的最大连接数 ,控制网络的恶意扩展和接入 2、端口的安全地址绑定, ...
  • 5 配置端口安全

    千次阅读 2020-02-21 09:14:53
    1 在交换机上启用端口安全特性 2 手工配置VPC17的mac地址,即保证只有VPC17可以接到此端口 查看VPC17的ip 配置 3 配置端口接入数量的限制 4 配置当此端口违规时的操作 5 验证测试 5.1 按当前拓扑图测试 5.1.1 ...
  • 配置 mac-address blackhole 5489-9870-286B vlan 1 ##一定要敲上vlan,否则无效 ##没有配置vlan,默认使用vlan 1 转发 三、端口安全 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址...
  • 一、端口隔离--port-isolate 组网需求 如图1所示,要求PC1与PC2之间不能互相访问,PC1与PC3之间可以互相访问,PC2与PC3之间可以互相访问。 配置端口隔离功能 # 配置端口隔离模式为二层隔离三层互通。...
  • 交换安全(局域网安全

    千次阅读 2019-07-21 20:32:27
    若阅读时看不太懂叙述顺序建议先浏览位于...将中间的PC的MAC伪装为对方的MAC地址,但需要不停地发送,否则交换机会重新加载上被攻击方的MAC地址 解决方法: 一一对应捆绑接口与MAC地址,维护一个合法的关系 在接口下...
  • 交换机端口安全配置

    千次阅读 2014-11-29 12:00:43
    在一般的企业环境中,交换机是使用最多的设备,下面简单介绍一些关于交换机端口安全的配置并就《CCNA学习指南(第六版)》书中的不足做一些补充:在交换机端口配置模式下输入Switch(config-if)#switchport port-...
  •  掌握交换机的端口安全功能,控制用户的安全接入。 背景描述  你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的 IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工...
  • Cisco端口安全

    千次阅读 2015-05-13 21:31:03
    端口安全简介什么是端口安全交换机中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为“安全MAC地址”)数,允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口与MAC地址绑定。...
  • 文章目录MUX VLANMUX VLAN应用场景MUX VLAN基本概念实验配置配置命令端口隔离端口隔离基本概念实验配置配置命令端口安全(Port Security)端口安全基本概念端口安全类型:端口安全限制动作实验配置 MUX VLAN MUX ...
  • 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-...
  • 详解H3C交换机“端口安全”功能

    千次阅读 2017-11-22 13:24:00
    交换机上启用了端口安全功能之后,对于交换机不能通过安全模式学习到其源 MAC 地址的报文,系统将视为非法报文;对于不能通过 IEEE 802.1x 认证或 MAC 地址认证的事件,将被视为非法事件。当发现非法报文或非法事件...
  • 我们会对pc0在交换机上进行mac地址绑定,pc1访问时则交换机断开端口 1.为pc机配置ip地址 pc0:192.168.1.1 pc1:192.168.1.2 pc2:192.168.1.3 2,交换机设置 enable 进入特权模式 configure terminal 进入...
  • 谈谈值得注意的高危端口

    千次阅读 2021-08-26 14:24:56
    网上常常提到很多高危端口,但是在业务发布等过程中,我们又避免不开。那么如何平衡业务与安全,在不影响业务的情况下,最大程度的 ...与其不断封堵所谓的“高危端口”,不如强化自身安全意识,减少“社.

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 110,212
精华内容 44,084
关键字:

交换端口安全

友情链接: GPS.rar