配置基于接口的ARP表项限制和端口安全(限制用户私自接入傻瓜交换机或非法主机接入)

已于 2022-07-19 23:35:33 修改
阅读量2.2k 收藏 12
点赞数 1
文章标签: 网络 安全
于 2022-06-28 11:51:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60444349/article/details/125499254
版权
本文详细介绍了如何通过配置端口安全和基于接口的ARP表项限制来防止未经授权的网络接入,包括端口安全的动态MAC地址管理、StickyMAC策略,以及如何限制接口学习的ARP表项数量以防止ARP攻击。案例演示了如何在实际网络环境中应用这些策略并查看效果。
摘要由CSDN通过智能技术生成

应用场景:为了防止未授权用户接入网络、用户私自接入交换机、路由器等设备,给公司网络管理带来安全隐患。通过相关技术手段给予禁止,方法有如下二种:配置端口安全和配置基于接口的ARP表项限制

分别介绍二种方法的操作原理及配置:

一、端口安全:将设备端口学习到的动态MAC地址转换为安全MAC地址。在接口下使能此功能,并限制接口最大可学习的MAC表项数量,当超过设置值时,将丢弃后续用户的报文,从而确保接口的终端接入安全,增强设备安全性。

1.1 安全MAC地址分为以下三类:

(1)安全动态MAC地址(使能port-security但未使能Sticky,设备重启后表项会丢失,缺省情况下不会被老化,除非配置了老化时间)

(2)安全静态MAC地址(使能port-security时手工配置的静态MAC地址,不会被老化且设备重启表项不会丢失)

配置命令:port-security enable port-security mac-address 0001-0002-0003 vlan 10

(3)Sticky MAC地址(使能port-security且使能Sticky,不会被老化且设备重启表项不会丢失,推荐采用此种方式)

配置步骤(在接口视图下操作):

port-security enable

port-security mac-address sticky

port-security max-mac-num 10

port-security protect-action restrict

(4)端口安全的保护工作分为以下三种:

  1. restrict(丢弃,并上报告警,推荐采用此种方式)
  2. Protect(丢弃,不上报告警)
  3. Shutdown(接口状态修改为erro-down,并上报告警)

二、ARP表项限制:为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源被耗尽。在接口下配置接口能够学习到的最大动态ARP表项数量,超过此设置值后将不允许新增动态ARP表项。

场景1:ARP表项限制

 LSW1上配置

#

配置接口GE0/0/1(LSW1)最多可以学习到个VLAN10对应的动态ARP表项。

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

 arp-limit vlan 10 maximum 2

#

或者配置接口VLANIF10最多可以学习到2个动态ARP表项。

#

interface Vlanif10

 ip address 192.168.100.254 255.255.255.0

 dhcp select interface

arp-limit maximum 2

#

在LSW1上执行display arp all查看ARP表项记录,只学习到PC1和PC2的ARP表项。

执行display arp-limit查看ARP限制表项记录

除了PC3无法访问192.168.100.254,PC1和PC2都可以访问。图忘截了。

场景2:配置端口安全

LSW2配置:

#

vlan batch 10

#

interface GigabitEthernet0/0/5

 port link-type access

 port default vlan 10

#

PC4和PC5是可以访问网络的

在LSW1上查看ARP表项

在GE0/0/5端口上开启端口安全后,再来观察PC4和PC5能否访问网关

[Huawei-GigabitEthernet0/0/5]port-security enable

[Huawei-GigabitEthernet0/0/5]port-security protect-action protect

[Huawei-GigabitEthernet0/0/5]port-security mac-address sticky

[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 1

执行命令reboot,将LSW1重启,清除ARP表项(reset arp all命令在ENSP上无法使用)。

在PC4和PC5上分别测试能否访问网关192.168.100.254,发现只有PC4可以访问,PC5被拒绝了。

 

 执行display arp all查看GE0/0/1接口下学习到的ARP条目

推荐:将端口安全保护功能更改restrict,在丢弃报文的同时上报告警。

[Huawei-GigabitEthernet0/0/5]port-security protect-action restrict

设备输出的报警如下

Jun 27 2022 01:32:25-08:00 Huawei DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5

.25.191.3.1 configurations have been changed. The current change number is 13, t

he change loop count is 0, and the maximum number of records is 4095.

Jun 27 2022 01:32:32-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1

.2011.5.25.42.2.1.7.6 The number of MAC address on interface (10/10) GigabitEthe

rnet0/0/5 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3

:shutdown)

文件皆一印
关注
配置交换机端口安全:要求控制交换机端口安全,禁止私接网络设备
彭淦淦的博客
04-25 2420
1.1 问题 1)要求控制交换机端口安全,禁止私接网络设备 2)PC1可以ping通Server1,PC2无法ping通Server1 1.2 方案 实验拓扑如图-1所示,搭建实验环境时首先确保PC1正常通信,再加入PC2。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)在交换机LSW1上配置 interface Ethernet0/0/1 port-security enab...
防止私自交换机_设置交换端口安全,防止私自接HUB
weixin_31852627的博客
12-23 1932
有些公司规定禁止私接HUB,一些员工心存侥幸心理,有朝一日被发现了,心里很委屈,“网管怎么发现我的呢?”也许我们就是那个无辜的员工,既然已经被逮到了,那我们就看看网管是怎么逮到的吧~还有,公司既然规定禁止私接HUB,作为网管,我们是不是也应该在交换机上做一下设置,减少给别人犯错误的机会呢?好了,开工!今天我们还是用CISCO的PacketTracert4.11模拟器来仿真首先,我们还是先看看网络的...
ARP报文限速
最新发布
2301_76769137的博客
06-27 214
如果设备的某个接口ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。设备支持在全局、VLAN和接口配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。针对全局的ARP报文限速:在设备出现ARP攻击时,限制全局处理的ARP报文数量。
防止私自交换机_交换机如何配置防止用户手动私设IP
weixin_30466329的博客
12-23 1626
1)在接入交换机上开启dhcp snooping功能Ruijie>enableRuijie#configure terminalRuijie(config)#ip dhcp snooping ------> 开启DHCP snooping功能2)连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-Fa...
防止私自交换机_【s5700交换机】防止用户私设IP
weixin_42458128的博客
12-23 1378
设备类型:华为S5700系列交换机应用场景:在不靠vlan的情况下,实现端口IP隔离,防止接入用户私自使用未分配的IP以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。此方法需要用到DHCP Snooping 功能。1、先开启全局DHCP Snooping[HUAWEI] dhcp snooping enable2、配置端口所属vlan[HUAWEI] vla...
unbound DNSSEC配置与验证
qupeng
12-10 1041
实验用的是unbound1.12版本,配置开启DNSSEC并进行验证。 一、生成root.key unbound-anchor -a ./root.key chown root.root ./root.key # 这里根据自己配置的运行用户进行属组设置 二、添加配置项 在unbound.conf 中添加配置项auto-trust-anchor-file: /path/root.key 三、重启服务进行验证 dig sigok....
ARP包过滤和网络限制访问
04-24
ARP防火墙,禁止未知MAC,IP访问自己的机器,或者访问未知MAC,IP. 有特殊需求可以定制哦
交换机端口安全技术的配置 Cisco
aiwo1376301646的博客
03-18 2653
实验目的:掌握交换机端口安全功能,控制用户安全接入 实验背景:公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用、冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,公司要求对网络进行严格的控制,为此需要在交换机做适当配置 安全技术实现方式: 1:Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定 2:Cisco3550...
交换安全之协议安全-VLAN安全、MAC安全、DHCP安全ARP安全、IP安全
Goallegoal的博客
04-01 678
交换安全之协议安全 局域网安全老三样(DHCP、ARP、IP安全)配合端口安全是常见的安全策略。 思科的《局域网安全2008》讲述了局域网安全攻防的一些例子,有兴趣可以去翻阅一下。 VLAN安全 vlan 跳跃攻击 1、交换机默认情况从 access 口收到的包为不打标签的包,一般交换机若从接入口收到标签包则丢弃; 2、特殊情况下,若接入口的标签为 native vlan 的标签,则交换机去掉此...
交换安全技术
bald_and_cute的博客
10-04 1537
针对二层网络安全技术,包含端口隔离、MAC地址安全端口安全、MAC地址漂移、MACsec工作机制、交换机流量控制、风暴控制、DHCP Snooping技术、IPSG、DAI
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2610
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
S5700交换机MAC地址绑定问题
网络管理员
08-03 2866
一台S5700的三层交换机,划分了几个VLAN,使用DHCP动态分发IP地址,拓扑图如下,想实现如下功能: 1、PC1与PC2,可以访问Server1—Server4,可以访问外网; 2、PC3,无法访问Server1—Server4,但是可以访问外网; acl number 3002 description yf&mg+geli rule 900 deny ip destination 10.70.2.0 0.0.0.255 \server1-4网段 traffic classifier
H3C交换机配置案例:防止同网段ARP***
weixin_34072458的博客
07-07 675
ARP***是一种常见的网络问题,对此,需要恰当配置交换设备。以下以H3C设备为例,介绍典型的配置方法。 一、对于阻止仿冒网关IP的arp*** 1、二层交换机防***配置举例 网络拓扑如图。 图1 3552P是三层设备,其中ip:100.1.1.1是所有pc的网关,3552P上的网关mac地址为000f-e200-3999。现在PC-B装有a...
HCIP 实验01 RSTP特性及安全
WFlySky的博客
07-24 858
RSTP特性及安全1、实验拓扑2、实验要求 1、实验拓扑 2、实验要求 1.SW1/2/3是企业内部交换机,如图所示配置各设备名称。 解法略 2.配置VLAN,需求如下: 1)SW1/2/3创建vlan10 [SW1]vlan batch 10 [SW2]vlan batch 10 [SW3]vlan batch 10 2)将PC1与PC2划入VLAN10,使用access链路。 [SW2]int g0/0/4 [SW2-GigabitEthernet0/0/4]port link-type acces
配置交换机端口安全实验
Long_UP的博客
05-21 5973
实验名称 交换机端口安全配置 实验目的 掌握交换机端口安全功能,控制用户安全接入 实验拓扑 实验原理 交换机端口安全功能,是指针对交换机端口进行安全属性的配置,从而控制用户安全接入交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可 以实现对用户进行严格的控制
华为交换机ARP静态绑定技术
热门推荐
迷逝
08-16 1万+
举个例子:明明这个IP地址是可以ping通的,但是ARP列表找不到。IP和MAC绑定错误,会导致无法通信。所以绑定之前需要慎重。这个命令扫描MAC码 ,这个命令只能在接口模式下才能使用。查询VLAN10接口所有IP地址分配情况。注意:一个主机MAC可静态绑定多个IP。下面这个命令是查看所有网段的ARP。这个时候我们就需要扫描MAC。命令,可以快速静态绑定。......
华为交换机防止同网段ARP欺骗***配置案例
weixin_33804582的博客
05-11 804
1 阻止仿冒网关IP的arp*** 1.1二层交换机实现防*** 1.1.1配置组网 图1二层交换机ARP***组网 S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP***软件。现在需要对S3026_A进行一些特殊配置,目的是过滤掉仿冒...
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 2001
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值