精华内容
下载资源
问答
  • 交换机端口安全

    2011-11-22 19:33:40
    交换机端口安全交换机端口安全交换机端口安全交换机端口安全
  • 端口安全和端口隔离

    万次阅读 多人点赞 2018-05-21 13:19:30
    端口安全简介: 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。 ...

    端口安全简介:

    端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。

    原理描述:

    安全MAC地址分类:

    类型定义特点
    安全动态MAC地址使能端口安全而未使能Sticky MAC功能时转换的MAC地址。设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。
    Sticky MAC地址使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。不会被老化,手动保存配置后重启设备不会丢失。

    未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。

    超过安全MAC地址限制后得的动作:

    接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

    动作实现说明
    restrict丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。 注:设备收到非法MAC地址的报文时,每30s至少警告1次,至多警告2次。
    protect只丢弃源MAC地址不存在的报文,不上告报警。
    shutdown接口状态被置为error-down,并上报告警。 注:默认情况下,接口关闭后不会自动恢复,只能由管理员手动恢复。

    可以通过配置自动恢复来实现端口down后的自动恢复。
    error-down auto-recovery cause{auto-defend | bpdu-protection | error-statistics | mac-address-flapping | port--sercurity} interval interval-value

    应用场景:

    端口安全经常使用在以下两种场景:

    • 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
    • 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

    接入层使用时注意:

    • 如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。
    • 如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。

    配置命令:

    prot-security enable 
    //使能端口安全功能
    
    port-security max-mac-num 5
    //配置端口安全动态MAC学习的数量
      
    display mac-address security 
    //查看安全动态MAC表项
      
    port-security mac-address sticky
    //使能接口Sticky MAC功能
    
    port-security protect-action {protect | restrict | shutdown}
    //配置端口安全保护动作
    
    port-security aging-time
    //配置端口安全MAC地址老化时间
    
    

    端口隔离:

    端口隔离的方法和应用场景

    端口隔离的方法应用场景
    配置接口单向隔离接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,往其他主机发送大量的广播报文,可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
    配置端口隔离组为了实现接口之间的二层隔离,可以将不同的接口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内接口之间的隔离。用户只需要将接口加入到隔离组中,就可以实现隔离组内接口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

    端口隔离配置:

    port-isolate mode { l2 | all}
    //配置端口隔离模式,缺省情况下,端口隔离模式为二层隔离三层互通
    
    port-isolate enable//使能端口隔离功能。
    

    端口安全和端口隔离配置:

    端口安全配置:

    如下图,给三台交换机三个端口都配置了端口安全,同时为了禁止三台PC通信,配置了端口隔离。

    这里写图片描述

    图:端口安全

    配置命令:

    [SW]dis current-configuration 
    #
    sysname SW
    #
    port-isolate mode all
    //配置端口隔离模式为二层三层都隔离
    #
    interface GigabitEthernet0/0/1
     port-security enable//使能端口安全
     port-security protect-action shutdown
     //配置端口安全保护动作为 shutdown
     port-security max-mac-num 3
      //配置端口最大MAC地址数量为3个
     port-security mac-address sticky
     //配置MAC地址模式为 sticky
     port-isolate enable group 1
      //端口隔离组1
    #
    interface GigabitEthernet0/0/2
     port-security enable
     port-security protect-action shutdown
     port-security max-mac-num 3
     port-security mac-address sticky
     port-isolate enable group 1
    #
     interface GigabitEthernet0/0/3
     port-security enable
     port-security protect-action shutdown
     port-security max-mac-num 3
     port-security mac-address sticky
     port-isolate enable group 1
    #
    

    注:配置多个端口时,可以先配置一个端口组,将需要配置的端口添加进端口组,然后就可同时配置多个端口。


    参考文档:华为HedEx文档


    展开全文
  • 44交换机端口安全.pptx

    2020-02-21 00:00:41
    4.4交换机端口安全;相关知识--- 端口安全概述;相关知识---端口安全;相关知识---端口安全;相关知识---端口安全配置;相关知识---端口安全配置;相关知识---端口安全配置;相关知识---端口安全配置;相关知识---端口安全...
  • 1、端口安全实验配置步骤

    万次阅读 多人点赞 2020-05-03 22:54:39
    ①配置只允许一个MAC通信 <Huawei>system-view //进入全局模式 [Huawei]undo info-center enable //关闭信息告警提示 ...[Huawei-GigabitEthernet0/0/1]port-security enable //开启端口安全,...

    在这里插入图片描述

    ①配置只允许一个MAC通信
    <Huawei>system-view     //进入全局模式
    [Huawei]undo info-center enable     //关闭信息告警提示
    [Huawei]interface g0/0/1     //进入接口
    [Huawei-GigabitEthernet0/0/1]port-security enable     //开启端口安全,该接口就只允许一个MAC地址通信
    [Huawei-GigabitEthernet0/0/1]quit     //退出
    [Huawei]
    
    ②配置只允许两个MAC通信
    [Huawei]interface g0/0/1     //进入接口
    [Huawei-GigabitEthernet0/0/1]port-security max-mac-num 2     //配置该端口只能允许两个MAC地址通信
    [Huawei-GigabitEthernet0/0/1]quit     //退出
    [Huawei]
    
    ③配置第一个通信的MAC会自动自动被记录
    [Huawei]interface g0/0/1     //进入接口
    [Huawei-GigabitEthernet0/0/1]port-security mac-address sticky     //开启MAC地址自动粘贴,第一个用户的MAC地址会自动被粘贴到该接口
    [Huawei-GigabitEthernet0/0/1]quit     //退出 
    [Huawei]
    
    [Huawei]dis mac-address     //查看MAC地址信息
    MAC address table of slot 0:
    -------------------------------------------------------------------------------
    MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
                   VSI/SI                                              MAC-Tunnel  
    -------------------------------------------------------------------------------
    5489-9856-7037 1           -      -      GE0/0/1         sticky    -           //sticky意思为粘贴
    -------------------------------------------------------------------------------
    Total matching items on slot 0 displayed = 1 
    
    MAC address table of slot 0:
    -------------------------------------------------------------------------------
    MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
                   VSI/SI                                              MAC-Tunnel  
    -------------------------------------------------------------------------------
    5489-9811-7017 1           -      -      GE0/0/3         dynamic   0/-         
    -------------------------------------------------------------------------------
    Total matching items on slot 0 displayed = 1 
    
    [Huawei]
    
    ④配置信息告警提示
    [Huawei]interface g0/0/1     //进入接口
    [Huawei-GigabitEthernet0/0/1]port-security protect-action restrict     //有新设备连接的话,提示管理员
      protect   Discard packets                 //丢弃数据包        
      restrict  Discard packets and warning     //丢弃数据包并告警
      shutdown  Shutdown                        //关闭接口
    [Huawei-GigabitEthernet0/0/1]quit     //退出 
    [Huawei]
    
    展开全文
  • 5 配置端口安全

    千次阅读 2020-02-21 09:14:53
    配置端口安全 网络拓扑图 1 在交换机上启用端口安全特性 2 手工配置VPC17的mac地址,即保证只有VPC17可以接到此端口 查看VPC17的ip 配置 3 配置端口接入数量的限制 4 配置当此端口违规时的操作 5 验证测试 5.1...

    配置端口安全

    网络拓扑图
    拓扑图

    1 在交换机上启用端口安全特性

    启用

    2 手工配置VPC17的mac地址,即保证只有VPC17可以接到此端口

    查看VPC17的ip
    ip
    配置
    配置

    3 配置端口接入数量的限制

    数量

    4 配置当此端口违规时的操作

    违规

    5 验证测试

    5.1 按当前拓扑图测试

    5.1.1 配置ip

    VPC 17
    ip
    VPC 18
    ip
    VPC 19
    ip

    5.1.2 测试

    VPC17 ping VPC18
    ping
    VPC19 ping VPC18
    ping

    5.2 修改拓扑图以及配置后测试

    5.2.1 配置修改之处

    拓扑图
    xiugai
    VPC19
    ip

    5.2.2 测试

    VPC19 ping VPC18
    ping

    5.3 验证最大端口数

    在S2上配置如下即可验证
    ping

    展开全文
  • 安全的路由交换--端口安全

    千次阅读 2019-05-31 00:15:09
    此文章是关于在思科交换机上启用交换机端口安全特性,起到防止mac地址欺骗和mac地址泛洪的作用 实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc) eve软件的使用,请移步到这...

    2019/5/30 - - -

    此文章是关于在思科交换机上启用交换机端口安全特性,起到防止mac地址欺骗和mac地址泛洪的作用

    实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc)
    eve软件的使用,请移步到这篇文章,点击此链接–>《eve的使用》

    实验拓扑

    在这里插入图片描述

    实验配置

    首先使用连接工具连接设备
    在这里插入图片描述端口安全配置

    防止mac地址泛洪的配置

    思路:限制mac地址的数量,配置接口允许的最大活跃地址数量
    用到来模拟的设备:switch、pc-1、pc-2

    switch上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.100 255.255.255.0 给switch的vlan 1 配置一个IP地址
    no shutdown 开启
    exit 退回到全局模式
    interface e0/1 由全局模式进入要做端口安全的e0/1端口
    switchport mode access 设置为模式为access
    do show interfaces e0/1 switchport 查看接口模式,是否为access模式
    switchport port-security 启用端口安全

    注:启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入(Access)或干道(Trunk)模式

    switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
    switchport port-security violation restrict 自己可进行选择,这里配置为restrict

    三种违规后的模式:
    shutdown :端口成为err-disable 状态,相当于关闭端口,默认处理方式。
    protect :将违规的MAC地址的分组丢弃,但端口处于up状态,交换机不记录违规分组。
    restrict:将违规的mac地址的分组丢弃,但端口处于up状态,交换机记录违规分组。

    switchport port-security maximum 数目 配置接口允许的最大活跃地址数量(默认允许的mac地址数目为1个)
    switchport port-security maximum 2
    这里设置为2个,pc-1的e0/1一个mac地址,加上vlan 1 一个mac地址
    此时,pc-1是可以ping通switch的,而pc-2是不可以ping通switch的,因为限定mac地址数目的数量正好限制了pc-2,
    如果想要pc-2可以ping通,可以把mac地址数目的数量修改的大一点,就发现可以ping通了。
    do show mac address-table 查看mac地址与端口的对应关系
    do show port-security interface e0/1 查看端口安全的行为(属性),最后一行是记录的违规次数。

    扩展:
    如果违规模式设置为了shutdown模式,一旦违规,端口会成为err-disable状态,相当于关闭端口,默认处理方式
    开启方法:
    第一种手动开启
    shutdown
    no shutdown
    第二种自动开启
    设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复
    errdisable recovery cause psecure-violation
    errdisable recovery interval 时间(s/秒,可以调整在30-86400秒,缺省是300秒)

    pc-1上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/1 进入与switch相连的接口
    spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
    switchport mode access 配置静态
    no spanning-tree vlan1 关闭vlan1的生成树
    vtp mode transparent 配置为透明模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.1 255.255.255.0 给pc-1的vlan 1 配置一个IP地址
    no shutdown 开启
    do ping 192.168.1.100 ping一下switch

    pc-2上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/2 进入与pc-1相连的接口
    spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
    switchport mode access 配置静态
    no spanning-tree vlan 1 关闭vlan1的生成树
    vtp mode transparent 配置为透明模式
    interface vlan 1 由全局模式进入vlan 1
    ip address 192.168.1.2 255.255.255.0 给pc-2的vlan 1 配置一个IP地址
    no shutdown 开启
    do ping 192.168.1.100 ping一下switch

    防止mac地址欺骗的配置

    思路:配置静态mac地址的绑定、防止外来人员假冒。为防止真实环境中手工绑定静态mac地址的工作量增大,配置端口安全的粘连特性,将交换机学习到的mac地址加入到运行配置中,形成绑定关系
    用到来模拟的设备:switch、pc-3

    switch上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/0 由全局模式进入要做端口安全的e0/0端口
    switchport mode access 设置为模式为access
    do show interfaces e0/0 switchport 查看接口模式,是否为access模式
    switchport port-security 启用端口安全
    switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
    switchport port-security violation restrict 自己可进行选择,这里配置为restrict
    switchport port-security mac-address mac地址 配置静态绑定的mac地址,此mac地址为pc-3上与switch相连e0/0的mac地址
    switchport port-security mac-address sticky 配置端口安全的粘连特性
    do show mac address-table 查看mac地址与端口的对应关系
    do show port-security interface e0/0 查看端口安全的行为(属性),最后一行是记录的违规次数。

    pc-3上的配置

    enable 由用户模式进入特权模式
    configure terminal 由特权模式进入全局配置模式
    interface e0/0 由全局模式进入要做端口安全的e0/0端口
    ip address 192.168.1.3 255.255.255.0 给pc-3配置一个ip地址
    no shutdown 开启
    此时pc-3来ping switch 是通的
    show interfaces e0/0 查看一下mac地址
    mac-address mac地址 修改mac地址
    mac-address aabb.cc00.3001 这里原来的mac地址为aabb.cc00.3000 ,现在改为aabb.cc00.3001
    做了手动静态mac地址绑定后,修改完mac地址再去ping switch,会发现不通了。
    做了粘连特性后,再去ping,会发现又是通的,如果不通,就把e0/0的最大连接数的mac地址数目设的大一点,会发现ping通了。

    扩展:
    配置端口安全的老化时间,让交换机删除一段时间内没有流量的mac地址
    switchport port-security aging time 10 (1~1440分钟)
    switchport port-security aging type 模式
    absolute 参数为老化时间到期后,删除所有mac地址并重新学习,默认值
    inactivity 参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其mac地址从地址表中删除

    默认情况下静态绑定的mac地址并不受老化时间的影响,Cisco 交换机也可让静态绑定的mac地址老化
    switchport porti-security aging static

    展开全文
  • 配置交换机端口安全实验

    千次阅读 2020-05-21 17:22:44
    交换机的端口安全配置 实验目的 掌握交换机的端口安全功能,控制用户的安全接入 实验拓扑 实验原理 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有...
  • H3C S3100V2端口安全配置

    千次阅读 2019-06-03 15:21:57
    一、端口安全简介 端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从...
  • 思科交换机端口安全

    千次阅读 2017-11-16 20:20:00
    交换机端口安全1.本实验是将switch中的f0/1的端口做成安全端口,构建mac地址绑定,只让pc0能够进入这个单口,pc1不能进入2.在f0/1上进行配置,先进入端口 1>Switch(config)#int f0/1 Switch(config-if)#shut...
  • 交换机端口安全配置

    千次阅读 2016-07-04 08:50:50
    交换机端口安全配置 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。...
  • 华为 eNSP 端口安全综合

    千次阅读 2020-10-01 17:34:26
    端口隔离实验 注意:这里的三台PC机,就添加相应的IP地址即可,不需要添加其他,遵循一一对应原则。 未添加端口隔离命令之前,三台PC机相互测试 得出结论: 能够相互ping通,能够正常通信。...端口安全实验 ...
  • 华为交换机端口安全

    万次阅读 2016-09-07 17:09:12
    session 1 端口安全  在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又...
  • 思科模拟器 --- 交换机端口安全配置

    千次阅读 多人点赞 2019-11-15 09:34:21
    学习目标:掌握交换机的端口安全功能,控制用户的安全接入 1.实验环境:对公司网络严格控制,防止公司用户的IP地址冲突和公司内部的网络攻击和破坏行为,为每一个员工分配固定的IP地址,某公司员工分配的IP地址为:...
  • Switch通过Arp泛红来进行MAC地址的学习,并汇聚成一张"MAC address tables",一个端口下可以有多个MAC地址的学习,因为MAC地址表的本身是有限制的,如果...另外端口安全与arp绑定有类似的功能,灵活运用可以限制主
  • 一、端口隔离--port-isolate 组网需求 如图1所示,要求PC1与PC2之间不能互相访问,PC1与PC3之间可以互相访问,PC2与PC3之间可以互相访问。 配置端口隔离功能 # 配置端口隔离模式为二层隔离三层互通。...
  • 首先我这遇到一个问题,就是解决843端口安全策略文件的问题。 因为不了解843端口安全策略文件的,百度查找资料 搜索关键字 “843端口” 有一个貌似问题很接近,进去查看一番,里面提到 什么东西...
  • 交换机端口隔离及端口安全

    千次阅读 2011-10-31 10:51:56
    计算机网络实验报告 实验组号: 课程: 班级:  实验名称:实验二 交换机端口隔离及端口安全  姓 名__________ 实 验 日 期:  学 号_____________
  • 端口安全 端口安全(port Security)通过将借口学习到的动态MAC地址转换为 安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),组织非法用户 通过本接口和交换机通信,从而增强设备的安全性。 》安全MAC地址的...
  • 深入理解Port-Security(端口安全)----全程真机演示
  • 计算机端口安全——关闭、屏蔽/阻止135、137、138、139、445、3389危险端口石沉大海了吗?这些端口干嘛的?如何控制这些危险端口? 石沉大海了吗? 如果你负责单位网络与信息安全,那么对wanna cry、坏兔等勒索病毒...
  • 交换机工作原理及端口安全配置

    千次阅读 2019-12-10 21:21:19
    目录相关概念认识交换机工作原理交换机端口安全 相关概念认识 交换机是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。交换机...
  • 交换机端口安全(mac地址绑定)

    千次阅读 2018-06-08 10:42:00
    交换机的端口安全,是一种交换机的过滤策略,即为交换机的某个端口绑定一个固定的mac地址,使其他的mac地址访问的时候触发策略,down掉端口或者拒绝服务 以下为拓扑图   交换机配置    enable 进入特权...
  • 详解H3C交换机“端口安全”功能

    万次阅读 2013-10-16 08:59:04
    3C交换机中的“端口安全”(Port Security)与Cisco设备中的“端口安全”功能并不完全一样,它是一种对网络接入进行控制的安全机制(防止非法接入),是对已有的IEEE 802.1x认证和MAC地址认证的扩充。H3C交换机中的...
  • cisco交换机端口安全之端口隔离

    千次阅读 2016-07-06 13:47:42
    端口保护可以确保同一交换机上的端口之间不进行通信,所有端口不进行二层的通信,如果要通信必须经过路由。保护端口于非保护端口之间的通信不受影响。 命令: Switch4(config)#interface range f0/5 , f0/8 进入...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 579,474
精华内容 231,789
关键字:

端口安全