《一名网络工程师的自我修养》-交换机工作原理端口安全

最新推荐文章于 2023-12-09 13:49:45 发布
最新推荐文章于 2023-12-09 13:49:45 发布
阅读量503 收藏
点赞数
分类专栏: 《一名网络工程师的自我修养》 文章标签: 交换机 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z3300529971/article/details/118275244
版权

交换机工作原理端口安全

交换机工作原理

  1. 2层交换机只根据OSI数据链路层(第2层)MAC地址执行交换和过滤
  2. 2层交换机建立了一个MAC地址表,它使用该表来作出转发决策
  3. 2层交换机依靠路由器来传递各个IP子网之间的数据

MAC地址表项

在这里插入图片描述

PC1向PC2发起访问,LSW1检查MAC表项,发现MAC地址表不存在对于的MAC地址表项,则添加一个新表项数据。

以下是新添加的表项,将端口绑定在收到该数据的端口。

LSW1MAC地址表
VLANMAC地址类型端口
154-89-98-99-26-5EDynamicE0/0/1

查询数据所要去目的MAC地址,发现无对应的MAC地址,则执行泛洪操作(除收到这个数据端口以外开启状态的端口发送)。 PC3收到后查看不是目的MAC地址并不是自己,则进行丢弃。而 LSW2收到后将会执行跟LSW1一样的操作(查询,泛洪),直到传递给PC2。

在这里插入图片描述

PC2收到数据后,需要进行回复。此时,源目MAC地址进行了对调。

以相同路径进行返回,到达LSW1时:

  1. LSW1先查看源MAC地址,发现MAC地址表没有改表项,则将收到该数据的端口G0/0/1跟源MAC地址(此时是PC2的)进行绑定,并添加到表现中。
  2. LSW1查看源MAC地址后,查询目的MAC地址是否在MAC地址表中,查询成功(刚开始访问时就已添加过)。则将数据发送到目的MAC地址所绑定的端口E0/0/1。
  3. 成功通信。
LSW1MAC地址表
VLANMAC地址类型端口
154-89-98-99-26-5EDynamicE0/0/1
154-89-98-76-2c-DEDyanmicG0/0/1

在返回的路线中,各交换机执行已经是单播,不是泛洪了。(因为去往PC2的过程中已经添加了MAC表项)。若发现MAC地址与绑定端口有变动,则以更新表项,与最新的数据来源端口绑定。

端口安全

在这里插入图片描述

1.MAC地址泛洪攻击

PC2作为攻击者,伪造了很多的源MAC地址发起数据,根据交换机的工作原理则会持续添加MAC地址表项,将所能存储的表项填满。那么交换机无法在更新MAC地址表项。

如果这时,一台PC访问想要访问PC1。那么经过的交换机找不到目的MAC地址表项,则执行泛洪操作。则数据会被间接转发到攻击者的PC被其截获。

同时网络资源被损耗,拥堵,甚至因为泛洪而瘫痪。

端口安全原理

泛洪攻击的产生:一般由于终端(本例是PC2)发起,交换机会因为源MAC地址不同持续添加MAC表项。

所以在终端与交换机相连的端口进行配置,设置一个MAC地址上限。

2.端口安全-安全MAC地址

  • 手动静态配置的MAC
  • DHCP Snooping 学习到的MAC地址
  • 没有达到最大安全MAC数量时,自动学习到的MAC(本次学习)

保护动作:

  • protect:当学习到的MAC地址达到接口限制数时,接口丢弃源地址带MAC表以外的报文。
  • restrict: 当学习到的MAC地址达到接口限制数时,接口丢弃源地址带MAC表以外的报文。并发出警告。
  • shutdown: 当学习到的MAC地址达到接口限制数时,将接口 error down, 同时发出警告。

注意:默认情况下,接口关闭后不会自动恢复,只能有网络管理人员先执行 shutdown命令,在执行undo shutdown命令手动恢复,也可以在接口视图下执行restart 命令重启接口。

端口安全配置

VRP

在这里插入图片描述

Sever20作为服务器,MAC地址通常不会经常改变,所以我们可以将E0/0/1端口与Sever20的MAC地址进行静态绑定。

[S7] int e0/0/1进入端口
[S7-e0/0/1] port-security enable开启端口安全
[S7-e0/0/1] port-security protect-action shutdown设置保护动作为关闭
[S7-e0/0/1] port-security mac-address sticky开启MAC地址粘滞功能
[S7-e0/0/1] port-security mac-address sticky 5489-98A3-1993 vlan 1将Sever20的MAC地址进行静态绑定,设为安全MAC地址允许访问。
[S7-e0/0/1] port-security max-mac-num 1设置最大安全MAC地址数量(默认为1)

配置完成后,S7的地址为172.17.0.131 进行测试:

使用Sever20 访问 S7 时成功访问。

用E0/0/2端口连接PC3时,由于未对e/0/2口进行配置,所以PC3可以正常访问PC3

由于将E0/0/1口与sever20的MAC地址进行了绑定,所以如果将E0/0/1这根“线”连接到S7也同样无法访问。

如果保护动作为关闭,想要重新开启–上文的注意事项。

接入层的端口安全(同时对多个端口操作-端口组)
[S5] port-group 1需要对所有的以太网接口配置端口安全,创建一个端口组编号为1
[S5-port-group-1]group-member e0/0/1 to e0/0/22将e0/0/1到e0/0/22加入到端口组1
[S5-port-group-1] port-security enable开启端口安全
[S5-port-group-1] port-security max-mac-num 1最大安全数量设为1
[S5-port-group-1] port-security protec-action protection动作为保护
[S5-port-group-1] port-security mac-address sticky启用sticky功能:就是将学习到的MAC地址直接保存到配置文里。当然交换机自己也可以学习,只是不会自动保存到配置文件而已。

在这里插入图片描述

对接入层交换机S5配置完成后,e0/0/1端口pingS7成功,此时因为开启了stick功能,MAC地址已被记录。

这时你将e0/0/1这根线接到另一台PC3时,MAC地址发生了变化,而最大安全MAC地址数量为1,所以PC3将不能进行访问。

Cisco

在这里插入图片描述

将sever23设备MAC地址静态绑定在F0/2端口上

C:\ > ipconfig /all查看sever23的MAC地址,
S7> en
S7# conf
S7(config)# int fa0/2
S7(config-if)# swithcport mode access设置access
S7(config-if)# swithcport port-security开启端口安全
S7(config-if)# swithcport port-security mac-address 0030.F2E0.2CED绑定sever23的MAC地址
S7(config-if)# switch port-security maximum 5设置安全MAC数量为5
S7(config-if)# swithcport port-security violation restrict保护动作设置为限制

多个端口安全

在这里插入图片描述

S5(config)# int range f0/1-24进入多个端口
S5(config-if-range)# switchport mode access设置端口为access口
S5(config-if-range)# switchport port-security开启端口安全功能
S5(config-if-range)# switchport port-security maximum 10设置MAC地址数量最大为10
S5(config-if-range)# switchport port-security max-address sticky启用sticky功能:就是将学习到的MAC地址直接保存到配置文里。当然交换机自己也可以学习,只是不会自动保存到配置文件而已。
S5(config-if-range)# switchport port-security violation protect设置保护动作
笑白君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试题-交换机工作原理
千寻的博客
08-17 3881
交换机工作原理——vlan 1.普通交换机工作原理 收到一个数据帧后: 第一步:首先学习帧中的源MAC地址来形成MAC地址表 第二步:然后检查帧中的目标MAC地址,并匹配MAC地址表: 如表中有匹配项,则单播转发 如表中无匹配项,则除接受端口外广播转发 注意:MAC地址表的老化时间默认是300秒(可修改) 2.配置vlan交换机工作原理 第一个交换机收到一个数据帧后: ****第一步:首先...
本科课程【计算机网络】实验2 - 交换机的VLAN配置实验
1+1=王的博客
05-07 6625
大家好,我是【1+1=王】, 热爱java的计算机(人工智能)渣硕研究生在读。 如果你也对java、人工智能等技术感兴趣,欢迎关注,抱团交流进大厂!!! Good better best, never let it rest, until good is better, and better best. 近期会把自己本科阶段的一些课程设计、实验报告等分享出来,供大家参考,希望对大家有帮助。 博客更新至专栏【课程设计实验报告】:https://blog.csdn.net/weixin_43598687/ca.
交换机的基本原理与配置
Dark_wWw的博客
08-05 688
目录 交换机的基本原理与配置 一、数据链路层 二、以太网帧 三、交换机工作原理 四、总结 交换机的基本原理与配置 一、数据链路层 数据链路层的功能 数据链路的建立、维护与拆除 帧包装、帧传输、帧同步 帧的差错恢复 流量控制 物理地址寻址 图-1 二、以太网帧 以太网帧的作用 用来识别一个以太网上的某个单独的设备或一组设备 (48位二进制数) 以太网的组成 24比特(供应商标识) 24比特 对于目的地址 ...
闲谈mac地址学习以及IVL/SVL
陌上花开缓缓归以的博客
06-09 1432
mac地址学习的目的:把未知mac地址转为mac地址表里面的已知地址。 MAC地址表记录了交换机学习到的其他设备MAC地址与接口的对应关系,以及接口所属VLAN等信息(mac地址:所属vlan:出接口) MAC地址表存放于交换机的缓存中,并记住这些地址,这样一来当需要向目的地址发送数据时,交换机就可在MAC地址表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送。 举例说明:已知 pc1:mac1,ip1; pc2:mac2,ip2,假设pc1,pc2属于vlan10 假设pc1要.
华为交换机模拟器_eNSP模拟器上学习华为交换机浮动静态路由的配置
weixin_39568597的博客
12-09 815
一、实验要求:1、网络拓扑如上图所示。LSW1及LSW2分别在GE0/0/1接口上连接着PC,LSW1是VLAN10用户的网关,LSW2是VLAN20用户的网关。2、LSW1与LSW2之间存在两条链路。其中双方的GE0/0/23接口通过一条低带宽链路互联,采用VLAN11对接(IP地址段为192.168.11.0/24);另外双方的GE0/0/24接口通过另一条线路互联,该条线路中存在一台非可网管...
单臂路由的使用及详细配置命令
weixin_47219725的博客
05-25 1万+
实验环境: 需求描述: 使各个vlan之间都能ping通 操作步骤: 1、 LSW1划分vlan,讲对应的端口划分到对应的vlan 里面,进入g0/0/1,端口设置为trunk,允许vlan 10 20 30 通过 2、 进入R1,进入g0/0/0子接口g0/0/0.10、g0/0/0.20、g0/0/0.30添加IP地址,封装dot1q协议,设置子接口对应vlan ,设置向下请求。 3、 设置PC地址。 4、 验证是否能ping通 一、LSW1的配置 SW1: Sys Sysname SW1 vlan
[网络工程师必备生存技能]交换机工作原理
CCIE21820的博客
05-12 381
交换机是我们在网络运维和桌面运维中比较经常接触的设备,今天小老虎来讲一下交换机工作原理交换机一共有三种转发操作:泛洪、转发和丢弃: 泛洪:交换机把从某一个接口进来的帧通过其他的非接收接口转发出去,泛洪是一种点到多点的操作(泛洪是一个VLAN内的泛洪, VLAN之间是有隔离的)。 转发:交换机把从某一个接收接口收到的帧通过从另外一个非接收接口转发出去,转发是一种点到点的操作。 丢弃:交换机把从某一个接口接收到的帧直接丢弃, 不转发。 如图所示 这个蓝色的箭头表示数据包的进入和输出,红
计算机网络实验一 交换机工作原理 实验报告
Paper_Heaven的博客
04-26 4195
实验一 交换机工作原理 目录如下实验一 交换机工作原理【实验目的】【实验要求】【实验环境】1、操作系统:Linux操作系统,要求内核支持Tun模块、Vlan模块等,本实验在CentOS7操作系统中测试通过;2、操作权限:部分操作需具有root权限;3、应用软件:需安装命令行工具:tunctl、vconfig等;需安装编辑工具gedit或其它文本编辑工具;需安装网络分析软件Wireshark及其依赖软件;其它常用必备的应用软件;4、实验网络拓扑:交换机工作原理实验网络拓扑如图1所示:【实验步骤】步骤1:创
交换机端口安全设置
qq_70242064的博客
03-18 2958
第四步,配置级联允许通过的最大MAC地址数目为23。第二步,配置交换机安全端口MAC地址绑定。第一步,配置交换机端口的最大连接数限制。第五步,查看交换机端口安全配置情况。第三步,启用安全端口
计算机网络交换机工作原理---超详细解析,谁都看得懂!!
cylcylccyyll的博客
07-15 1万+
单播unicast一个点给另外一个点发送数据。组播multicast一个点给一部分点发送数据。广播broadcast一个点给所有点发送数据。
VLAN划分-----计算机网络
阿古朵
11-29 1735
vlan划分
华为wlan 隧道AC+AP了解补充篇更换为LSW1为地址池
qq_43065093的博客
11-30 619
错误点补充 上一篇实验无法是sta设备正常连接网络补充wlan 隧道知识篇
简单的端口安全配置
最新发布
DK_ShowDicker的博客
12-09 598
ensp下的简单端口安全配置
交换机MAC地址端口的绑定------学习笔记
热门推荐
06-01 1万+
实验一:交换机MAC地址端口的绑定   1 实验目的   (1)理解二层交换机MAC地址绑定技术的意义及作用。   (2)掌握配置交换机MAC地址绑定的方法   2 实验设备    计算机(>1台);交换机(1台), Console电缆(1根),直连双绞线(>1根)   3 实验内容   通常交换机支持动态学习 MAC 地址的功能,每个端口可以动态学习多个 MAC地址,从而
网工必备交换机原理与配置
最铁头的网工博客
04-13 7734
交换机概念 交换机分为二层交换机和三层交换机。 二层交换机工作在TCP/IP对等模型的第二层,即数据链路层,它对数据包的转发是建立在MAC地址基础之上的,是直接连接用户终端的设备,离用户最近。 三层交换机是具有三层交换设备的多端口交换机,可连接不同网络进行通信。 MAC地址:设备的唯一标识,长度为48位(6个字节),前3个字节,代表网络硬件制造商的编号,后3个字节,代表该制造商所制造的某个网络产品(如网卡)的系列号。 例:08:00:20:0A:8C:6D 交换机转发原理 交换机中有一个MAC地址表,
一个交换机端口对应的mac数量有限制吗?
等等小汤圆的博客
09-05 1万+
交换机中的mac地址可以有一个或多个。 交换机中有一张mac地址表,记录了mac地址交换机端口的对应关系,一个端口可以对应多个mac地址,但一个mac地址不能对应多个端口交换机可以在一个接入端口学习很多的MAC地址,但是会提供配置方式来修改一个端口最大的MAC地址数目:MAX_MAC_Number。如果MAX_MAC_Number== 8,则集线器可以连接8台电脑(不考虑虚拟机)并正常工...
mac 查看端口_交换机端口对应的mac地址与IP地址
qq_51217618的博客
03-08 8976
1、MAC地址表 通俗的讲,没太交换机都有一个MAC地址表,该表记录了交换机每个端口与终端设备MAC地址的映射关系交换机工作原理就是跟据MAC表中的端口与主机地址的映射关系来选择目的端口,进行二层数据转发。所以通过MAC地址表可以查到终端设备连接的哪个端口对应哪台主机,MAC地址端口的互查就是借助MAC地址表进行的。 2、ARP缓存表 ARP(Address Resolution Protocol),即地址解析协议,A是工作在网络层的协议,它负责将IP地址解析为MAC地址,在每台主机中都有
数据链路层 L2交换机
小楼一夜听春雨,深巷明朝卖杏花
06-29 1246
交换机学习 如上是两个交换机,计算机PC1是192.168.179.0.2 PC2是192.168.179.0.3,依次类推。 现在登入到LSW2这台交换机上面,可以看到mac地址表里面什么都没有。 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]display mac-address [Huawei] 现在让PC1去ping一下PC3 可以看到PC1和PC3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值