分享从零开始学习网络设备配置--任务6.1 实现计算机的安全接入

于 2024-07-23 17:04:13 发布
阅读量646 收藏 9
点赞数 25
分类专栏: 从零开始学习网络设备配置 文章标签: 安全 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59193722/article/details/140640761
版权

项目描述

       随着网络技术的发展和应用范围的不断扩大,网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境,其存在的网络安全隐患不断显现出来,如非人为的或自然力造成的故障、事故;人为但属于操作人员无意的失误造成的数据丢失或损坏;来自园区网外部和内部人员的恶意攻击和破坏。网络安全状况直接影响人们的学习、工作和生活,网络安全问题已经成为信息社会关注的焦点之一,因此需要实施网络安全防范。

        保护园区网络安全的措施包括诸如在终端主机上安装防病毒软件,保护终端设备安全;利用交换机的端口安全功能,防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击;利用IP访问控制列表对网络流量进行过滤和管理,从而保护子网之间的通信安全及敏感设备,防止非授权的访问;利用NAT技术从一定程度上为内网主机提供“隐私”保护;在网络出口部署防火墙,防范外网未授权访问和非法攻击;建立保护内部网络安全的规章制度,保护内网设备的安全。  本项目重点学习交换机端口安全功能、远程管理、访问控制列表、安全接入互联网、NAT以及防火墙等技术的配置与应用。

任务描述

       某公司构建了互联互通的办公网。为了防止公司内部用户将的IP地址冲突,防范来自公司内网的攻击和破坏,需要实现公司内网的安全防范措施。   新实施的公司内网安全规则是:为公司内每一位员工分配一个固定IP地址,针对PC1和PC2主机端口进行IP+MAC地址绑定,在接入交换机上配置端口安全功能,控制用户随意接入,保护网络安全;还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

任务要求

(1)实现计算机的安全接入,网络拓扑图如图

(2)计算机的IP地址、子网掩码和MAC地址,如表

(3)出于安全的考虑,在交换机的端口上配置端口安全,绑定计算机的MAC地址,防止非法计算机的接入。

知识准备

1.端口安全的概念 交换机的端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址后,定义之外的源MAC地址发送的数据包将被端口丢弃。

2.端口安全的配置 在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又叫MAC地址表,其中记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。

(1)配置端口安全动态MAC地址。 此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃。

华为的交换机缺省的动态MAC地址表项老化时间为300s,在系统视图下执行mac-address aging-time命令可修改动态MAC表项的老化时间。在实际的网络中不建议随意修改该老化时间。

(2)配置Sticky MAC地址。  在交换机的端口激活Port Security后,该端口上所学习到的合法的动态MAC地址被称为安全动态MAC地址,这些 MAC地址缺省不会被老化(在端口视图下使用port-security aging-time命令可设置动态安全 MAC地址的老化时间),然而这些 MAC地址表项在交换机重启后会丢失,因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成Sticky MAC地址,Sticky MAC地址表项在交换机保存配置后重启不会丢失。

任务实施

1.根据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源。

2.查看计算机的MAC地址。在计算机命令行输入ipconfig,查看MAC地址。

(1)查看PC1的MAC地址,如图

(2)查看PC2的MAC地址,如图

3.交换机的基本配置。

(1)交换机SWA的基本配置。

(2)交换机SWB的基本配置。

4.开启该交换机端口的端口安全,并绑定对应的MAC地址。

(1)在SWA的Ethernet0/0/1和端口Ethernet0/0/2端口,配置Sticky MAC地址。

(2)在SWB的GE0/0/1端口,配置端口安全动态MAC地址。

任务验收

1.在交换机SWA上使用display mac-address命令,查看交换机与计算机之间连接的端口,类型是否变为sticky。

2.测试计算机的互通性。

(1)通过ping命令,测试内部通信息的情况。使用PC1 ping PC2和PC3,可以看出,计算机之间可以互相通信。

(2)使用PC2计算机Ping PC3计算机,可以看出,计算机不可以互相通信。因为SWB的GE0/0/1端口将学习MAC地址的数量限制为1,当有多于1个PC机通过时,交换机发出告警,并关闭端口。

(3)使用命令查询GE0/0/1端口是否已经关闭。

(4)更换计算机,测试互通性。 把计算机PC1更换为计算机PC4,IP地址相同,MAC地址不同,连接到交换机Eth0/0/1端口上。可以看出,更换计算机后,MAC地址不同,计算机不能通信。

任务小结

(1)学习MAC地址的数量默认为1。

(2)学习到的MAC地址数达到限制后的保护动作有三个,默认为restrict。

(3)动态安全MAC地址表项默认不老化。

网络设计ensp
关注
  • 25
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2024考研408-计算机网络 第四章-网络学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
08-07 3175
两台主机可以通过网络层(路由器)来进行数据的通信以及资源共享。网络层对比之前的数据链路层、物理层强大的地方:通过使用网络层的一些协议、设备、路由器以及网络层的算法,可以对发送的数据做一系列的规定,其中规定包含的发送目标主机,规划路由选择最合适的路由器完成转发。路由与转发的区别转发:发生在网络层的设备路由器内部的,转发的内容是网络层的传输数据单元IP分组。(微观)路由选择:发生在路由器外部或者路由器之间的。(宏观)**转发发生在哪里?**路由器内部。**如何实现路由,具体从哪个路由器的端口转发出去?
2024考研408-计算机网络 第三章-数据链路层学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
08-03 5019
过程:主机A向主机B发送数据,发送方会在对应的数据在每一层会加上相应的控制信息进行封装,之后传输出去,经过中间系统时也会经历解封、封装过程,最终传输到主机B通过解封来取得其中的数据。上图的话可以看到数据是自上而下先封装之后自下而上再解封,当专门只研究数据链路层问题时,我们只关心协议栈的水平方向的各个数据链路层,如下图的箭头所示,这就是这一张研究链路层的一个研究思想。功能概述:数据链路层在物理层提高服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机的网络层。
01- 从零开始完整实现-循环神经网络RNN
March_A的博客
09-10 1824
使用 pytorch 搭建循环神经网络RNN,循环神经网络(Recurrent Neural Network,RNN)是一类用于 处理序列数据的神经网络架构。与传统神经网络不同,RNN 具有内部循环结构,可以在处理序列数据时保持状态信息。这使得 RNN 在自然语言处理、时间序列预测、语音识别等许多领域中非常有用。
电脑小白?不用怕!计算机从零开始之计算机基础 -- day01 计算机基础知识
DeviL丶、的博客
12-03 2435
1. 计算机概念 计算机(computer)俗称电脑,是现代一种可以进行数值计算又可以进行逻辑计算,还具有存储记忆功能,能够按照程序运行,自动、高速处理海量数据的现代化智能电子设备。 2. 计算机应用 科学计算领域:天文、地质、数学、几何物理等。 数据处理领域:企业管理、人口统计、图书管理、仓存物流、金融讯息等。 3. 计算机分类 运算规模和用途:巨型机、大型机、中型机、小型机、工作站、微型机...
YOLOv5-6.1小白式教你复现,实现自己的数据
weixin_61076411的博客
03-20 1875
├──.github:包含了USSUE_TEMPLATE和workflows,是存一些配置文件的,不太重要,可以不用管他├── data:主要是存放一些的配置文件(如.yaml文件)是用来配置训练集和测试集还有验证集的路径的,其中还包括目标检测的种类数和种类的名称);还有一些官方提供测试的图片。如果是训练自己的数据集的话,那么就需要修改其中的yaml文件。但是自己的数据集不建议放在这个路径下面,而是建议把数据集放到yolov5项目的同级目录下面。
计算机网络复习资料-谢希仁版
热门推荐
zzz12341的博客
04-13 1万+
计算机网络复习资料 第一章 1.1计算机网络的定义 计算机网络是利用通信线路将地理位置分散的、具有独立功能的许多计算机系统连接起来,按照某种协议进行数据通信,以实现资源共享的信息系统。 1.2计算机网络的功能 数据通信–计算机网络最基本的功能 资源共享–计算机网络的主要目的 集中管理 实现分布式处理 负荷均衡 提高计算机可用性 1.3计算机网络的拓扑结构的类型 ① 星型(优点:网络结构简单,便于控制,建网容易,易于扩展;缺点:中心结点的可靠性问题是网络可靠性的瓶颈) ② 环型(优点:结构简单,实现容易,数据
计算机网络】详细学习笔记——持续更新
m0_74048048的博客
05-24 1099
正在学习计算机网络课程,这篇文章用来做笔记记录和期末复习,会持续跟新和完善,教材用的谢希仁第八版的《计算机网络》,欢迎各位同学一起学习,也欢迎各位大佬指正
LFS?从零开始构建LFS系统---2
qq_41782149的博客
05-13 800
文章目录准备虚拟内核文件系统进入Chroot环境创建目录与一些必要的文件和符号连接安装必要的软件包(前边临时系统构建正确的话,一般在编译期间不会出现错误)编译内核让LFS系统可引导LFS系统的完成与启动结语 上文说到:构建 LFS 的临时系统已经完成。本篇将进行正式 LFS 系统的构建工作。 准备虚拟内核文件系统 基本步骤: 创建将用来挂载文件系统的目录 创建初始设备节点 挂载和激活 /dev 挂载虚拟文件系统 完成上述步骤的脚本文件内容为: #!/bin/bash LFS=/home/lfs/LFS_
计算机网络详解】——数据链路层(学习笔记)
HinsCoder的博客
05-17 846
数据链路层提供了一种在不可靠的物理介质上传输数据的方式,并负责在网络层和物理层之间提供一个可靠的通信连接。本文将对数据链路层进行详细的介绍,包括数据链路层的定义、协议、功能和应用等方面。
新时达SM-01-F5021使用说明书V6.1.rar
09-11
总的来说,新时达SM-01-F5021使用说明书V6.1是一份全面的技术资料,旨在帮助用户从零开始了解并熟练操作这款设备,确保其在各种工业环境中发挥最大效能。无论是初学者还是经验丰富的技术人员,都能从中受益,提升...
ZeroServer_01
12-19
本教程将指导初学者从零开始掌握ZeroServer的安装、配置和使用,以满足日常的远程管理需求。 一、ZeroServer的安装 1.1 平台支持:ZeroServer支持多种操作系统,包括Windows、Linux和macOS等。根据目标系统选择...
课程设计简易计算器设计
11-20
任务是个简易的两位数的四则运算,程序都是根据教材内和网络中的程序参考编写而成,在功能上还并不完善,限制也较多。本任务重在设计构思与团队合作,使得我们用专业知识、专业技能分析和解决问题全面系统的锻炼。...
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 643
轻量部署,安全和业务连续性才能两不误
内网安全:IPC横向
最新发布
8888的博客
07-23 654
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复
TechEnthusiast的博客
07-23 242
Kubescape是一个开源的Kubernetes安全平台,由ARMO公司开发并维护。风险分析安全合规性检查配置错误扫描容器镜像漏洞扫描和修复Kubescape的优势在于其全面性和易用性。它不仅能够识别问题,还能提供修复建议,甚至在某些情况下自动进行修复。Kubescape作为一个全面的Kubernetes安全平台,其镜像修复功能为用户提供了强大的工具来应对容器安全挑战。通过自动化的漏洞扫描和修复流程,它大大降低了维护Kubernetes环境安全性的复杂度和工作量。
从等保测评看行业安全趋势:洞察与预测
A526847的博客
07-23 651
从等保1.0到等保2.0,我们看到了保护范围的扩展、综合防御体系的构建、定级灵活性的增强以及定级流程的严格化。未来,随着新技术的不断涌现,等保测评的标准和方法还将继续更新和完善。云计算、物联网、大数据等新兴领域的发展,为等保测评提供了新的应用场景。因此,等保测评需要面向这些新兴领域,制定专门的测评标准和方法,确保其安全性得到有效保障。企业需要组建专业的测评团队,并对其进行必要的培训,以确保测评的准确性和有效性。等保测评将更加注重对新技术的评估和应用,确保新技术在提升系统安全性的同时,不会带来新的安全隐患。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络设计ensp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值