华为端口安全简介

最新推荐文章于 2024-04-22 14:40:47 发布
最新推荐文章于 2024-04-22 14:40:47 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 华为网络配置学习指南 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73258133/article/details/134555762
版权

        端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。

端口安全原理描述

通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。

安全MAC地址的分类

安全MAC地址分为:安全动态MAC与Sticky MAC。

未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。

超过安全MAC地址限制数后的动作

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

端口安全应用场景

介绍端口安全常见的应用场景。

端口安全经常使用在以下几种场景:

  • 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
  • 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

配置端口安全示例

        用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Router的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。PC4为外来设备用于测试。

实验拓扑图:

交换机SW1配置:
1.把接口加入VLAN。

*三层交换机创建VLAN10,把接口加入VLAN10用于通信,同时开启DHCP代理
[FW1]interface Vlanif 10
[FW1-Vlanif10]ip address 10.1.1.1 24
[FW1-Vlanif10]quit
[FW1]]interface GigabitEthernet 0/0/4	
[FW1-GigabitEthernet0/0/4]port link-type access 
[FW1-GigabitEthernet0/0/4]port default vlan 10
[FW1-GigabitEthernet0/0/4]quit
[FW1]dhcp enable        (开启DHCP服务)
[FW1]interface Vlanif 10
[FW1-Vlanif10]dhcp select relay     (开启DHCP代理)


*把连接PC端的接口GE0/0/1加入VLAN10,接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述
[FW1]interface gigabitethernet 0/0/1
[FW1-GigabitEthernet0/0/1]port default vlan 10
[FW1-GigabitEthernet0/0/1]quit



2.配置GE0/0/1接口的端口安全功能。 

*使接口开启Sticky MAC功能,同时配置MAC地址限制数,接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]port-security enable
[FW1-GigabitEthernet0/0/1]port-security mac-address sticky
[FW1-GigabitEthernet0/0/1]port-security max-mac-num 1  (限制绑定为1)
路由器R1配置:
[R1]interface Ethernet 0/0/0
[R1-Ethernet0/0/0]ip address 10.1.1.254 24
[R1-Ethernet0/0/0]quit
[R1]dhcp enable   (开启DHCP服务)
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]ip pool dhcp  (创建地址池)
Info:It's successful to create an IP address pool.
[R1-ip-pool-dhcp]network 10.1.1.0 mask 255.255.255.0 (DHCP分配的网段)
[R1-ip-pool-dhcp]gateway-list 10.1.1.254             (网关)
[R1-ip-pool-dhcp]dns-list 1.1.1.1                    (DNS)
[R1-ip-pool-dhcp]quit
[R1]interface Ethernet 0/0/0
[R1-Ethernet0/0/0]dhcp select global                 (接口上开启dhcp服务)

实验结果:

PC1、PC2、PC3都通过DHCP服务获取到IP地址

现换外来设备PC4连接SW1端口GE0/0/3后获取不到IP地址

重新连接PC3后,PC3正常获取IP地址,通过配置端口安全成功限制外来人员使用自己带来的PC设备访问公司的网络。

IP.lgc
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
案例26在华为设备上实施端口安全技术
qq_43416206的博客
09-10 177
端口安全是一种交换机安全技术,其在一定程度上可以保证企业交换网络的安全,它的本质是通过限制 MAC 地址表实现对网络的管控。如果应用在接入层设备中,通过配置端口安全可以防止仿冒用户从其他端口攻击如果应用在汇聚层设备中,通过配置端口安全可以控制接入用户的数量。在开启端口安全的默认情况下,每个端口仅可以学习一个安全 MAC 地址,用户可以配置端口学习安全 MAC 地址的最大数量限制。用户也可以配置端口安全保护动作,当端口学习到的安全MAC 地址数量达到限制时,可以选择采取下列某一种动作。
华为交换机安全端口实验.docx
11-06
华为交换机安全端口实验 华为交换机安全端口实验是指在华为交换机中配置安全端口,以阻止非法的 MAC 地址访问交换机。安全端口实验可以分为两类:安全动态 MAC 地址和 Sticky MAC 地址。 安全动态 MAC 地址是一种...
华为端口安全常用3种方法配置案例
IT技术
01-11 1204
华为端口安全常用3种方法配置案例
HUAWEI(MAC-地址绑定端口
热门推荐
h20040928的博客
11-14 1万+
MAC-地址绑定端口
端口安全和链路聚合学习笔记
scasdsasa的博客
04-22 972
按照链路聚合工作原理:1.静态聚合(双方系统间不使用聚合协议来协商链路信息) 2.动态聚合(双方系统间使用聚合协议来协商链路信息,LACP(link aggregation control protocol,链路聚合控制协议)是一种基于IEEE802.3ad标准的,能够实现链路动态聚合的协议)port-security mac-address security stickymac-address】 vlan 20(没有插网线时,可以使用此条命令进行绑定)相同隔离组才能隔离,不同隔离组可以互访。
MAC地址表+端口安全+MAC地址漂移
里晓山的博客
05-05 5578
目录 一、MAC地址表的组成 二、端口安全Port Security) 三、MAC地址漂移 1、配置接口mac地址学习优先级(MAC地址表就不会被抢占覆盖了) 2、配置不允许相同优先级接口mac地址漂移(不要轻易配置) 四、关于MAC地址知识的总结与思考? 一、MAC地址表的组成 MAC: 48bit 16进制 前 24bit(OUI,组织(厂商)唯一标识符) 第8bit =0(单播) =1(组播/广播mac) 1、动态表项: 由接口通过报文中的源MAC地址学习获得,表..
华为端口安全
weixin_45123715的博客
04-04 3379
端口安全是交换机上的功能 端口安全功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和sticky MAC),可以阻止除安全MAC之外的主机通过本接口和交换机通信,从而增强设备安全性 当主机C断开连接,默认交换机会删除接口对应的MAC地址,开启了端口安全后,主机C断开后你不允许其他主机接入,这种地址叫做安全MAC地址 在交换机上还可以设置允许接入的最大MAC地址数量,学习到的MAC地址都与g0/0/1接口对应,如下图switch 普通MAC地址表老化时间为5min 端口安全分类: 1
华为交换机端口安全Port-Security策略应用(静态绑定)
weixin_56548356的博客
10-11 1787
二层安全
一分钟轻松了解华为端口安全机制
zhongyuanjy的博客
01-20 748
1.端口安全简介 端口安全PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。 2端口安全原理描述 1.安全MAC地址的分类 安全MAC地址分为:安全动态MAC、安全静态MAC与StickyMAC。 2.安全动态MAC地址: 设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 3.安全静态MAC地址: 不会被
交换机端口安全总结
weixin_33736832的博客
11-16 161
交换机端口安全总结最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。 首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。 1.MAC地址与端口绑定,当发现主...
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
华为端口镜像.docx
09-28
华为端口镜像技术详解】 端口镜像是一种网络监控和故障排查技术,它允许网络管理员将交换机上的特定端口(源端口)的数据流量复制到另一个端口(目的端口)。目的端口通常连接着网络分析设备,如嗅探器或协议分析...
华为防火墙USG6000V-基于IP地址和端口安全策略.pdf
05-12
华为防火墙USG6000V-基于IP地址和端口安全策略.pdf
华为所有路由器交换机配置简介
09-10
华为是全球知名的网络设备供应商,其产品包括路由器和交换机,广泛应用于企业网络、数据中心以及广域网。...《华为所有路由器交换机配置简介》这个CHM文件可能包含更详细的步骤和案例,值得仔细研读。
华为交换机安全端口实验
tushanpeipei的博客
12-13 4704
模拟器:eNSP 安全端口: 将设备端口学习到的MAC地址变为安全MAC地址(分为两类:安全动态MAC地址和Sticky安全地址,这两类地址是设备信任的地址),以阻止除了安全动态MAC和静态MAC之外的主机通过本接口和交换机通信。 安全MAC地址类型: 1.安全动态MAC地址: 当接口上学习到了MAC地址,地址会转换为动态MAC地址,如果当接口上学习的最大MAC地址数量达到上限以后不会再学习新的安全动态MAC地址,并且只允许原来学习到的地址的设备进行入交换机进行通信。开启端口后,默认学习到的最大地址数为1,
华为交换机端口安全
zj2059129607的博客
11-23 163
端口安全Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
华为三层交换机端口安全
yh_151022的博客
07-14 1140
Restrict 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 Protect 只丢弃源MAC地址不存在的报文,不上报告警。 Shutdown 接口状态被置为error-down,并上报告警。 默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。 如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause por.
华为交换机端口安全配置
xw19979790869的博客
11-23 1212
端口安全Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
华为交换机端口mac地址绑定
最新发布
06-05
华为交换机支持端口与MAC地址的绑定,也称为端口安全端口安全功能可以保证交换机上的端口只接受指定MAC地址的设备数据包,从而避免了一些非法用户接入企业内网的情况。具体实现如下: 1. 配置MAC地址表项,将端口与MAC地址进行绑定。 ``` [HUAWEI]mac-address static 0011-2233-4455 vlan 100 interface GigabitEthernet0/0/1 ``` 2. 开启端口安全,并设置最大绑定MAC地址数目。 ``` [HUAWEI]port-security enable [HUAWEI]int GigabitEthernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1]port-security max-mac-num 10 ``` 3. 设置禁止学习模式。当绑定的MAC地址数目达到最大值时,可以选择禁止学习新的MAC地址。 ``` [HUAWEI-GigabitEthernet0/0/1]port-security violation-mode restrict ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值