-
2021-10-13 09:11:04
一、服务器拒绝服务
DOS共计:拒绝攻击
DDOS:分布式拒绝攻击
二、
1.解决接入层非法用户接入方案:在交换机上生成安全的mac地址表
- 满足安全表项转发,不满足丢掉
2.解决汇聚层非法用户接入方案:在交换机上配置接口的最大mac学习数量
- 对于超出安全mac地址
restrict 丢弃源mac地址不存在的报文并上报告警 protect 只丢弃源mac地址不存在的报文,不上报告警 shutdown 直接关闭接口,接口状态被置为error-down,并上报告警 3.安全mac地址表
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、静态MAC和sticky MAC)阻止非方法用户通过本接口和交换机通信,从而增强设备安全性。
- 安全的动态mac地址
- 安全静态mac地址
- sticky mac地址(黏贴mac)
类型 定义 特点 安全的动态mac地址 开启使能端口安全功能,未开启使能sticky mac功能时转换的mac地址 设备重启后表项会丢失 安全静态mac地址 开启使能端口安全功能时手工配置的静态mac地址 不会被老化 sticky mac地址(黏贴mac) 开启使能端口安全又同时开启使能sticky mac功能后转换得到的mac地址 不会被老化 接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为又非法用户攻击,就会根据配置的动作接口做保护处理。缺省情况下,默认保护动作时restrict。
三、拓扑实验
要求及配置
1.要求sw1的e0/0/1学习到的mac为安全动态mac
[SW1]vlan batch 10 20 [SW1]int e0/0/1 [SW1-Ethernet0/0/1]port link-type access [SW1-Ethernet0/0/1]port default vlan 10 [SW1-Ethernet0/0/1]q [SW1]int e0/0/2 [SW1-Ethernet0/0/2]port link-type access [SW1-Ethernet0/0/2]port default vlan 10 [SW1-Ethernet0/0/2]q [SW1]int e0/0/3 [SW1-Ethernet0/0/3]port link-type access [SW1-Ethernet0/0/3]port default vlan 20 [SW1-Ethernet0/0/3]q [SW1]int e0/0/4 [SW1-Ethernet0/0/4]port link-type access [SW1-Ethernet0/0/4]port default vlan 20 [SW1-Ethernet0/0/4]q [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port link-type trunk [SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 // [SW1]int e0/0/2 [SW1-Ethernet0/0/2]port-security enable //这时变成动态macdisplay mac-address security //查看mac安全的mac
display mac-address2.要求sw1的e0/0/2学习到的mac为安全静态mac
[SW1]int e0/0/2 [SW1-Ethernet0/0/2]port-security enable //这时变成动态mac [SW1-Ethernet0/0/2]port-security mac-address sticky //这时变成黏贴mac [SW1-Ethernet0/0/2]port-security mac-address sticky 5489-98A2-670F vlan 10 //这时变成静态mac//3.要求sw1的e0/0/2学习到的mac为安全黏贴mac
[SW1]int e0/0/2 [SW1-Ethernet0/0/2]port-security enable //这时变成动态mac [SW1-Ethernet0/0/2]port-security mac-address sticky //这时变成黏贴mac3.防止汇聚层非法用户的接入---SW2--g0/0/1设置最大用户数量4
[SW2]vlan batch 10 20 [SW2]int g0/0/1 [SW2-GigabitEthernet0/0/1]port link-type trunk [SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 // [SW2]int g0/0/1 [SW2-GigabitEthernet0/0/1]port-security enable //这时变成动态mac [SW2-GigabitEthernet0/0/1]port-security mac-address sticky //这时变成黏贴mac [SW2-GigabitEthernet0/0/1]port-security max-mac-num 4 //设置最大接收用户数量 [SW2-GigabitEthernet0/0/1]port-security protect-action shutdown //限制动作为shutdown4.测试
PC1-ping 192.168.1.8
PC2-ping 192.168.1.8 -t //一直ping
PC5-ping 192.168.1.8 -t //恶意主机Ping更多相关内容 -
ENSP的端口安全
2022-02-18 09:06:40华为模拟器上的端口安全实验教学0基础也可以学展开全文拓扑:
PC4为测试pc
第一步
在pc1,pc2,pc3配置ip地址,掩码,网关
第二步
在SW1上配置vlan 10
Ip地址为192.168.10.254/24
为pc1-3的网关
第三步
在端口配置access
并给G0/0/1-3的绑定vlan10
G0/0/2与G0/0/3操作与G0/0/1操作一致
第四步
开启端口安全
port-security enable开启端口安全
port-security max-mac-num 1 绑定的mac数量为1(默认开启)
port-security mac-address sticky 开启后会主动学习连接它的端口的设备的mac地址
G0/0/2与G0/0/3操作与G0/0/1操作一致
第五步
让pc4与pc3配置相同的ip,然后把pc3与交换机的线断开,然后让pc4与交换机相连
经过测试发现是不可以通信的.然后我们把线再连回我们的pc3
经过测试发现我们的端口安全生效了。
-
华为 eNSP 端口安全综合
2020-10-01 17:34:26端口隔离实验 注意:这里的三台PC机,就添加相应的IP地址即可,不需要添加其他,遵循一一对应原则。 未添加端口隔离命令之前,三台PC机相互测试 得出结论: 能够相互ping通,能够正常通信。...端口安全实验 ...展开全文
端口隔离实验
注意:这里的三台PC机,就添加相应的IP地址即可,不需要添加其他,遵循一一对应原则。
未添加端口隔离命令之前,三台PC机相互测试
得出结论:
能够相互ping通,能够正常通信。
添加端口隔离命令后——
port-isolate mode l2 interface e0/0/1 port-isolate enable group 1 interface e0/0/2 port-isolate enable group 1
能够达到实验要求,任务完成。端口安全实验
先看拓扑图:
将所有命令刷入交换机中:
端口安全中,最大数量设置为2,当第三台pc机尝试与PC3通信时,端口被shutdown
大致上,端口实验基本完成。
-
ensp-配置交换机端口安全
2021-05-06 15:21:16拓扑图如下: 1,配置主机IP 2,配置交换机端口安全 3,用PC1去pingPC2和PC3 4,交换pc1机与pc2机的直通线 4,在pc1机上ping pc2机与pc3机发现交换机原E0/0/2端口关闭(PC2无法接入交换机)展开全文拓扑图如下:
1,配置主机IP
2,配置交换机端口安全
3,用PC1去pingPC2和PC3
4,交换pc1机与pc2机的直通线
-
ensp-端口配置
2020-05-07 11:30:49端口安全 实验拓扑: SW1: [SW1]int gi0/0/1 [SW1-GigabitEthernet0/0/1]port-security enable #开启端口安全,该接口就只允许一个mac地址通信 [SW1-GigabitEthernet0/0/1]port-security mac-address sticky # 开启... -
eNSP模拟器下基于端口的简单vlan配置
2021-01-14 06:00:21vlan端口类型:Access、Trunk、 HybridAccess链路类型端口:1.只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧2.一般用于连接用户设备(例如:PC电脑)Trunk链路类型端口:1.允许多个VLAN通过,可以接收和发送多个... -
华为eNSP安全策略配置
2019-01-11 13:52:12安全策略配置原则 首包做安全策略过滤;后续包不做安全策略过滤,而是根据会话表进行转发。 安全策略业务流程 流量通过下一代防火墙(NGFW)时,安全策略的处理流程如下: ①NGFW会对收到的流量进行检测,... -
使用ensp配置网络安全
2020-04-21 17:25:15拓扑图 ... 配置与外网互联地址为192.168.12.9/24,设置外网默认路由。 配置内网访问外网nat规则,保护内网地址。 设置访问策略,部门1、部门2设置可以访问外网,部门三设置为不能访问外网。 防火墙使... -
ensp练习:防火墙安全策略配置
2019-09-26 22:12:49根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv... -
eNSP配置VLAN路由
2021-11-27 19:08:14eNSP配置VLAN路由 配置一下交换机 为了避免后面一直有提示 我们可以敲undo terminal monitor 这个命令关闭提示。那现在我们可以开始进入系统视图构建VLAN 我们用display this查看一下设置的VLAN ... -
华为ENSP(3)------端口绑定技术
2020-07-25 22:40:341、端口绑定技术的概念: 端口绑定技术:链路聚合是将一组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法...(2)成员接口不能配置任何业务和静态MAC地址; (3)成员接口加入Eth-Trunk时,必须为缺省的hy -
华为eNSP下的ssh配置实验
2022-01-11 20:53:41配置两台路由器(AR4为服务器,AR3为SSH客户端) ...设置权限等级 创立RSA的ssh秘钥 只允许ssh进行并设立虚拟端口 启动ssh的启动业务 SSH的客户端配置 发现能控制到AR4,实现远端控制 ... -
ENSP防火墙GRE配置
2022-04-19 15:07:01ENSP防火墙GRE配置 如图配置两个防火墙直接gre通信 各个设备ip配置在这里不做详细讲解 接下来进入正戏,以下均在防火墙web端进行配置 防火墙怎么进入web端自行百度 FW1 3 FW2 fw2配置跟fw1一样,只是IP... -
ensp交换机划分VLAN的配置
2022-01-31 17:39:36int e0/0/2 [LSW2-Ethernet0/0/2]port link-type access [LSW2-Ethernet0/0/2]port default vlan 3 [LSW2]int g0/0/1 [LSW2-GigabitEthernet0/0/1]port link-type trunk 对交换机配置好之后 查看VLAN 可以看到上述... -
华为模拟器ensp——VLAN的配置
2021-03-08 23:07:47(4)配置交换机之间的链路为Trunk链路; (5)再次从PC1上分别ping PC2~PC6,能否ping 通? (前提:各PC机基础配置已经配好) 在这里我们只需要配置SW1 2 3三个交换机啦~ 将三个交换机更名为S1 S2 S3 测试PC1... -
路由与交换技术笔记(eNSP)
2021-01-16 10:50:23本学期学习了路由与交换技术,因此将其中一些重点内容记录下来...华为交换机通常会启用自动协商机制设置模式,因此若我们要强制设置的话需要执行以下语句 undo negotiation auto //关闭该接口的自动协商功能 speed 10 -
端口安全配置如下
2020-03-22 10:43:35使用的软件是:ensp 条件: 2台pc机 交换机: 一台 S3700 一台S5700 一台服务器 Server 1 网段为:192.168.10.0网段 pc 1:192.168.10.10/24 pc 2:192.168.10.20/24 Server 1:192.168.10.100/24 配置完 是可以通的 =====... -
(5)华为ensp--OSPF基本配置
2022-05-10 12:20:57进入R1配置 sys [Huawei]sysname R1 [R1]int g0/0/1 //进入接口 [R1-GigabitEthernet0/0/1]ip add 192.168.1.1 24 //配置接口IP [R1-GigabitEthernet0/0/1]int g0/0/2 [R1-GigabitEthernet0/0/2]ip add 192.168.2.1 ... -
华为交换机端口安全详解--端口隔离、环路检测与端口安全
2018-09-20 13:36:57一、端口隔离--port-isolate 组网需求 如图1所示,要求PC1与PC2之间不能互相... # 配置端口隔离模式为二层隔离三层互通。 <Quidway> system-view [Quidway] port-isolate mode l2 #... -
eNSP交换机配置VLAN
2021-12-22 20:42:17运行eNSP>新建拓扑>搭建如下图的拓扑结构>启动设备 2.测试主机间连通性 四台主机基础配置如下 10.10.1.0/24 PC1: IP地址:10.10.1.1 子网掩码:255.255.255.0 网关:10.10.1.0 PC2: IP地址:10.10.... -
配置OSPF认证【eNSP实现】
2022-04-07 15:01:24OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。 OSPF支持两种认证方式:区域认证和链路...MD5验证模式下的密钥是经过MD5加密传输,相比于简单验证模式更为安全 Key chain验证模式可 -
ensp实战之防火墙安全转发策略
2020-12-22 13:13:12步骤二:进入防火墙的CLI命令模式下,按一下命令配置:配置各个接口的IP 地址,并加入相应的安全区域。system-view[USG6000V1]int g 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.5.1 24... -
华为交换机MAC端口安全配置实验
2021-04-27 00:04:27一、实验拓扑图: 二、实验要求: ...3.将S1交换机的E0/0/1端口开启安全检测功能,并配置StickyMAC功能。 4.从PC1PINGPC2,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台... -
eNSP华为基本配置命令
2019-08-03 20:35:33undo shutdown 启动IP地址(华为交换机默认开启,不需要再次开启) 配置自动退出超时时间: [Huawei]user-interface console 0 进入console唯一端口 [Huaw:ei-ui-console0]idle-timeout 1440设置分钟 防止弹出信息... -
eNSP配置VLAN
2022-01-16 15:31:09实验 配置VLAN 实验目的 掌握 VLAN 的创建方法 掌握 Access、 Trunk 和 Hybrid 类型接口的配置方法 掌握基于接口划分 VLAN 的配置方法 掌握基于 MAC 地址划分 VLAN 的配置方法 掌握 MAC 地址表及 VLAN 信息的查看... -
交换机端口安全配置实验(MAC动态绑定和静态绑定)
2018-05-14 09:16:381、 根据拓扑完成上图 ,可以配置pc的地址为192.168.1.1-192.168.1.42、 配置安全端口Switch>enableswitch#conf tSwitch(config)#interface f0/1Switch(config-if)#switchport mode access 配置access模式Switch... -
ENSP实验:配置ACL
2021-12-23 19:19:02访问控制列表被广泛地应用的路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 准备:2台服务器,2台客户端,2台交换机,1台路由 先划分好网段,配置好服务器... -
ensp-vlan-配置 Trunk 接口 (第九天)
2021-06-27 21:58:38试验拓扑 概述 通过划分vlan隔离广播域和增强网络安全性。以太网由多台交换机组成...Trunk端口一般用于交换机之间连接的接口,该帧包不包含802.1Q1的vlan标签,将打上该Trunk端口的PVID。 如果该帧包含802.1Q的标签, -
ensp配置web服务器
2021-08-07 10:37:58ensp配置web服务器 内容精选换一换该任务指导用户使用Loader将数据从HBase导出到SFTP服务器。创建或获取该任务中创建Loader作业的业务用户和密码。确保用户已授权访问作业执行时操作的HBase表或phoenix表。获取SFTP...
收藏数
1,152
精华内容
460