Ethernet Security
布道天下
这个作者很懒,什么都没留下…
展开
-
DHCP Snooping简述
DHCP ( Dynamic Host Configuration Protocol,动态主机配置协议)是一种非常常见的技术,用于对设备的IP地址等信息进行自动分配和管理。在IP网络中,诸如个人电脑、手机或者其他终端设备,都必须拥有IP地址才能够进行正常通信,而获得IP地址的途径主要有两个,一是通过手工配置的方式,即静态IP地址配置,这种方式适用于终端设备较少的场景,或者从网络管理及安全的角度考虑,对设备与IP地址的绑定关系存在严格要求的场景等。另外,服务器及大多数网络设备通常有稳定的通信及控制需原创 2020-06-14 11:28:18 · 2647 阅读 · 0 评论 -
MAC地址漂移和应对(二)
MAC地址漂移应对方法二层环路以及网络攻击行为均有可能引发MAC地址漂移。对应二层环路这个诱因,我们可以部署生成树协议(STP、RSTP、MSTP)或者环网保护协议(RRPP、ERPS)进行规避,从而避免引起MAC地址漂移问题。也可以利用交换机的端口安全特性,也可以解决MAC地址漂移问题。利用端口安全应对MAC地址漂移配置基于VLAN的MAC地址漂移检测交换机支持MAC地址漂移检测功能,该功能可以在VLAN下激活。通过相应的配置,使得当交换机在VLAN中检测到MAC地址漂移时,可以原创 2020-06-13 22:09:15 · 11985 阅读 · 0 评论 -
MAC地址漂移和应对(一)
对于一个园区网络来说,交换机是一个非常重要且常见的设备。然而在二层交换网络的组建过程巾很容易引发各种问题,网络设计者和建设者需要格外留意并设法解决它们。MAC地址漂移(MAC address flapping)是在二层交换网络中常见的问题之一。同一个MAC地址在交换机的某个接口上被学习到之后,又在相同ULAN的另一个接口上学习到,这种现象被称为MAC地址迁移,少数的几次MAC地址迁移往往并不被认为是MAC地址漂移,例如运行了VRRP ( Virtual Router Redundancy Proto原创 2020-06-12 21:33:00 · 8593 阅读 · 0 评论 -
二层环路危害
广播风暴网络中如若存在二层环路,一旦出现广播数据帧(或者组播、未知单播数据帧),这些数据帧帧将被交换机不断进行泛洪,从而在网络中造成广播风暴。广播风暴对网络的危害是非常大的,将严重消耗设备资源及网络带宽,最终导致网络瘫痪,是需要格外注意的问题。MAC表紊乱如下图所示,PC发送数据帧给Server;SW3的MAC地址表中没有匹配目的MAC的表项,于是将数据帧进行泛洪;SW1及SW...原创 2020-05-02 08:42:51 · 6606 阅读 · 0 评论 -
Port Security
背景需求如下图所示的网络拓扑中,展示的是一个对安全性要求较高的网络,某企业搭建该网络需求如下:(1)员工通过该企业分配的PC连接到接入层交换机(Access-Switch)上,以便获得与核心网络(Core Network)的IP连通。(2)出于网络安全考虑,企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC接入网络,也就是说,如果有用户试图在某个接口下级联一台小型交换机或者集线器从而扩展上网接口,那么这种行为应该被发现而且被禁止。(3)并且要求,只有可信赖的终端发送的数据帧才允许被交换原创 2020-06-04 18:19:55 · 1370 阅读 · 0 评论 -
动态MAC地址和静态MAC地址
MAC地址表是交换机进行数据帧转发时所使用的一个非常关键的数据表。每一台交换机都会维护自己的MAC地址表,掌握MAC地址表的相关配置及管理是非常有必要的。1.查看MAC地址表在华为交换机上,使用display mac-address命令可查看设备的MAC地址表。图9-1中,查看SW1的MAC地址表可能会看到如下输出:从SW1的MAC地址表可以看出,其GEO/0/ 1接口在ULAN ...原创 2020-06-02 22:09:14 · 14839 阅读 · 2 评论