HCIP--以太网交换安全(一)

已于 2024-09-29 11:25:46 修改
阅读量649 收藏 15
点赞数 14
文章标签: 网络 网络安全
于 2024-09-27 22:08:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83878929/article/details/142601320
版权

目录

端口隔离

 MAC地址表安全

以太网交换安全概述:以太网交换安全是一系列技术和策略的集合,旨在保护以太网交换机免受各种网络攻击和威胁。

端口隔离

一、端口隔离概述:

作用:可以实现同一个VLAN内端口的隔离

 

优势: 端口隔离功能为用户提供了更安全,更灵活的组网方案

 补充:正常情况下,不同vlan是不能相互访问的但端口隔离就相反。端口隔离用来解决同一个vlan中的主机,不想互相访问的需求。

二、 实验配置 

实验目的:

了解端口隔离的配置和方法 ,将PC1和PC2加入隔离组,两者不能访问,但两者都有可以访问PC3

实验步骤:

1. 在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组

2. 配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信

3. 在全局配置端口隔离模式为二层、三层同时隔离

 实验拓扑:

(1)在LSW1中将G0/0/1和G0/0/2接口加入隔离组

<Huawei>sys

[Huawei]undo info-center enable

[Huawei]sys LSW1

[LSW1]int g0/0/1

[LSW1-GigabitEthernet0/0/1]port-isolate enable group 1  //将PC1的G0/0/0接口加入端口隔离组1

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]int g0/0/2

[LSW1-GigabitEthernet0/0/2]port-isolate enable group 1   //将PC1的G0/0/0接口加入端口隔离组1

[LSW1-GigabitEthernet0/0/2]quit

 测试:PC1和PC2放在同一个隔离组,无法互相访问

但是可以访问PC3

(2)配置vlanif接口,开启vlan内的ARP代理功能,实现PC1和PC2互相通信

[LSW1]int vlanif 1

[LSW1-Vlanif1]ip address 10.1.1.254 24

[LSW1-Vlanif1]arp-proxy inner-sub-vlan-proxy enable

测试PC1访问PC2,可以看得出访问成功

 

(3) 在全局模式下配置端口隔离模式为二层、三层同时隔离

[LSW1]port-isolateode all   //配置端口隔离模式为二层、三层同时隔离

测试PC1访问PC2,可以看出访问超时,说明三层隔离成功。

 三、总结

总的来说,端口隔离技术是提高网络安全性的有效手段之一。通过本次实验,不仅成功实现了端口隔离的配置,并验证了其效果 。

 MAC地址表安全

一、MAC的基本概述

 MAC基本概念

MAC地址表记录了连接到交换机的设备的MAC地址及其对应的端口信息。这是交换机进行数据转发决策的基础

MAC地址表安全的主要类型:

动态MAC地址表项:由接口通过报文中的源MAC地址获得表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。

静态MAC地址表项:由用户手动配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其它接口收到源MAC地址的报文将会被丢弃。

黑洞MAC地址表项:由用户手工配置并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

 MAC地址表安全功能:

 二、实验配置

拓扑

实验步骤:

1. 配置S1的G0/0/1口的最大mac地址学习数量为1;

2. 将攻击者的mac地址设置为黑洞mac;

3. 将PC4的mac地址静态绑定在S1的G0/0/3口。

(1)在S1的G0/0/1接口上配置最大MAC地址学习数量为1

<Huawei>sys

[Huawei]sysname S1

[S1]undo info-center enable

[S1]int g0/0/1

[S1-GigabitEthernet0/0/1]mac-limit maximum 1

使用PC1访问PC4,再查看S1的MAC地址表

从这里可以看出G0/0/1接口已经学习到了PC1的MAC地址表,可以再拿另外一台终端访问PC4,这时会出现警告。 

(2)将攻击者的的MAC地址设置为黑洞MAC地址

[S1]mac-address blackhole 5489-9809-5783 vlan 1 

查看MAC地址表,可以看得出MAC地址类型为blackhole。

 

使用攻击者访问任意一台主机,应该都无法通的

 (3)将PC4的MAC地址静态绑定在S1的G0/0/3接口 

 [S1]mac-address static 5489-98FD-042C GigabitEthernet 0/0/3 vlan 1

查看MAC地址

三、总结

MAC地址表安全是网络安全管理中的一个关键环节,它涉及到MAC地址表的基本概念、类型、配置命令以及应用场景等多个方面。通过合理配置和管理MAC地址表,可以有效提高网络的安全性和稳定性,保护网络免受未授权访问和其他安全威胁的影响。

zhgjx_chen
关注
HCIP-Datacom-路由交换技术 V1.0 实验手册
06-28
5. **以太网交换安全**:如端口安全、MAC地址泛洪攻击防护等安全措施。 6. **MPLS原理**:MPLS的基本原理、标签分发协议、LDP/RSVP-TE等技术。 7. **网络运维和故障定位**:网络监控、故障排查等运维管理知识。 8. *...
HCIP-Datacom-Advanced Routing Switching Technology V1.0 实验手册
11-12
以太网交换安全,确保网络安全性;MPLS(Multiprotocol Label Switching)原理,提升数据传输效率;网络运维和故障定位,提高网络稳定性;以及网络割接技巧,实现网络的平滑升级。 该实验手册适合已完成HCIA...
HCIP-datacom
weixin_52808317的博客
08-15 1497
通过HCIP-Datacom-Advanced Routing & Switching Technology V1.0认证,将证明您系统理解并掌握IGP高级特性、BGP高级特性、IPv6路由、VLAN高级技术、以太网交换安全、MPLS原理、网络运维和故障定位、网络割接等知识和技能。使您可以胜任中到大型企业网络工程师岗位,掌握中到大型网络的特点和通用技术,具备使用华为数通设备进行中到大型企业网络的规划设计、部署运维、故障定位的能力,并能针对网络应用设计出较高安全性、可用性和可靠性的解决方案。......
HCIP-Datacom考试大纲+华为官方培训教材+报名方法
m0_52742432的博客
08-30 995
园区网数据中心网络SDN-WANSD-WAN。
誉天HCIP-Datacom课程简介
08-15 338
HCIP-Datacom定位于培养跨领域解决方案规划设计或单领域规划及部署的高级工程师,可以胜任中到大型企业网络工程师岗位,掌握中到大型网络的特点和通用技术,具备使用华为数通设备进行中到大型企业网络的规划设计、部署运维、故障定位的能力,并能针对网络应用设计出较高安全性、可用性和可靠性的解决方案。HCIP-Datacom-SD-WAN Planning and Deployment H12-871 (SD-WAN规划和部署)3.园区网络,WLAN,数据中心,WAN解决方案。
【华为认证HCIP-Datacom-WAN Planning and Deployment V1.0 正式发布】
mengmeng_921的博客
12-25 1235
华为认证HCIP-Datacom-WAN Planning and Deployment V1.0(中文版)自2021年6月30日起,正式中国区发布。 发布概述 基于“平台+生态”战略,围绕“云-管-端”协同的新ICT技术架构,华为公司打造了覆盖ICT领域的认证体系,包含ICT技术架构与应用、云服务与平台两类认证。 根据ICT从业者的学习和进阶需求,华为认证分为工程师级别、高级工程师级别和专家级别三个认证等级。 华为认证覆盖ICT领域,符合ICT融合的技术趋势,致力于提供领先的人才培养体系和认证标准,
HCIP-datacom-821题库真题和机构资料
weixin_52808317的博客
08-01 763
HCIP-datacom-821题库真题和机构资料
HCIP-datacom-831题库
weixin_52808317的博客
07-31 1068
HCIP-datacom-831题库
HCIP-Datacom考试大纲
qq_45831018的博客
08-18 2281
本文介绍了HCIP-Datacom考试大纲,方便今后学习总结。
华为HCIP-Datacom-Core Technology H12-821方向题库(1)
qq_42286539的博客
01-07 1597
华为HCIP datacom H12-821题库
华为HCIP-Datacom-Core Technology H12-821方向题库(3)
qq_42286539的博客
08-10 1055
华为HCIP-Datacom-Core Technology H12-821方向题库
HCIP-Transmission V2.5 培训教材与实验手册.rar
02-10
HCIP-Transmission V2.5 培训教材与实验手册》是一份全面涵盖华为认证ICT专家(HCIP)传输领域V2.5版本的专业资料。这份压缩包包含三部分核心内容:HCIP-Transmission V2.5 培训教材、HCIP-Transmission V2.5 实验...
H31-341-HCIP-Transmission.pdf
02-16
HCIP-Transmission知识点总览 HCIP-Transmission是华为公司的认证考试,旨在验证考生的网络传输技术和网络管理能力。以下是HCIP-Transmission考试中的知识点总览: 一、ASON软件结构 * ASON软件结构包括三个平面...
个人计算机与网络安全
最新发布
nn_84的博客
09-24 304
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
【计算机网络 - 基础问题】每日 3 题(二十一)
Newin2020的博客
09-24 681
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
Linux 网络安全守护:构建安全防线的最佳实践
weixin_62641226的博客
09-23 999
通过定期更新系统、强化用户权限管理、配置防火墙、使用SSH安全连接、定期备份数据、监控系统日志以及安装安全工具,用户可以有效提升Linux系统的安全性,构建坚固的网络安全防线。Linux系统通常内置了防火墙工具,如`iptables`和`firewalld`。用户应根据实际需求,设置合适的规则,限制不必要的端口和服务。可以使用`rsync`、`tar`等工具进行备份,确保在发生安全事件时能够快速恢复。此外,定期审查用户账户和权限,及时删除不再使用的账户,确保只有必要的用户能够访问系统。
【在Linux世界中追寻伟大的One Piece】验证TCP
weixin_74809706的博客
09-22 1699
成功调用该函数后,Winsock库的状态会被初始化,应用程序就可以使用Winsock提供的一系列套接字服务,如地址家族识别、地址转换、名字查询和连接控制等。在调用WSAStartup函数后,如果应用程序完成了对请求的Socket库的使用,应调用WSACleanup函数来解除与Socket库的绑定并释放所占用的系统资源。这样,编译器就能够识别并理解Winsock2中定义的数据类型和函数,从而能够正确地编译和链接网络相关的代码。接受客户端的连接请求,并返回一个新的套接字描述符,用于与客户端进行通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值