mac 查看端口_通信设备端口安全知识点汇总

最新推荐文章于 2022-12-28 09:41:08 发布
最新推荐文章于 2022-12-28 09:41:08 发布
阅读量328 收藏
点赞数
文章标签: mac 查看端口 怎么查看端口发送出来的数据

▏端口安全

9d9319b0c65a237f0b5938a82201fb49.png

MAC泛洪攻击利用了交换机的Mac学习机制,攻击者通过发送伪造源地址的数据包,让交换机学习到错误的MAC转发表项,同时交换机的MAC转发表项就会被这种虚假的信息占满,导致正常的数据包转发时,匹配不到转发表项而泛洪到VLAN内的所有其它端口,这样就可以实现报文监听了。

1、交换机的MAC学习机制

2、MAC表项的数目限制

3、交换机的转发机制

9134dfd6cab1edef42c1bb932475136a.png

MAC泛洪攻击的预防

1、配置静态MAC转发表

2、配置端口的MAC学习数目限制

[SwitchA]vlan 80

[SwitchA-vlan80]mac-address learning disable #关闭MAC地址学习功能

[SwitchA-vlan80]mac-limit maximum 80 #限制接口的MAC地址学习数

[SwitchA-vlan80]mac-limit alarm enable #MAC地址数达到限制后进行告警

[SwitchA-vlan80] loop-detect eth-loop block-mac block-time 6000 retry-times 5#配置MAC地址漂移检测功能

[SwitchA]display mac-limit #查看MAC地址学习数限制信息

若关闭MAC地址学习功能,设备在收到数据帧时将不会进行MAC地址的学习。另外之前学习到的动态表项不会立即删除,需要等待老化时间到达后老化删除,或手工执行删除MAC命令进行删除。

[RouterC-Ethernet0/0/1] quit

[SwitchA]undo mac-address #清除所有MAC地址表项

[SwitchA]mac-address static 0002-0002-0002 Ethernet2/0/1 vlan 2 #静态绑定MAC地址

[SwitchA]mac-address blackhole 0005-0005-0005 vlan 3 #配置黑洞MAC地址表项

[SwitchA]display mac-address blackhole #查看黑洞MAC表是否添加成功

[SwitchA]display system-mac #查看系统的MAC地址

▏端口安全配置步骤

端口安全配置:(基于源MAC允许流量)

interface f0/0 先关闭端口再配置安全信息

switchport mode access 启用端口安全时,必须先设为access

switchport port-security 启用端口安全(默认只能学1个MAC)

switchport port-security mac-address xxxx.xxxx.xxxx 端口授权的MAC地址

switchport port-security maximum 3 指定最多允许学多少个地址

switchport port-security mac-address sticky 将动态学到的地址粘住,永久使用

switchport protected 端口隔离(protected之间不能互访、可以与其他端口访问)

switchport block unicast 禁止单播(端口安全优化)

switchport port-security violation [protect|restrict|shutdown] 指定行为

proctect #当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop,但不会通知有流量违规

restric#禁止不合法的MAC地址流量,但会通知,发送SNMP trap,并会记录syslog

shutdown#默认模式,收到不合法的MAC地址,将接口变成error-disable并关闭,并发送SNMP trap,并会记录syslog

show port-security 查看端口安全状态,哪些接口应用了端口安全

show port-security address 可以看到授权的MAC地址

show port-security interface f0/1 可以看到接口的具体状态

让err-disable接口自动恢复

errdisable recovery cause psecure-violation

show errdisable

mac-address-table static xxxx.xxxx.xxxx vlan 1 drop #基于源MAC限制流量,拒绝某个vlan的某个MAC地址

show mac-address-table查看命令

同台交换机上protected port与protected port之间的流量相互被拒绝,只针对同一vlan,不同交换机是可以通信的

注:端口安全不能在dynamic接口上配置

端口安全不能是SPAN的目标接口,不能在EtherChannel中

weixin_39831039
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PBCH_mapping.rar_PBCH_天线端口数_导频位置_通信demap
07-13
实现pbch的资源映射,可以找到导频的位置。并且使用与1.2.4天线端口
基于主机MAC地址限制流量
Robert's Log
12-14 623
对于MAC过滤的特性,它能够根据主机MAC地址来限制流量,在使用该特性的情况下,交换机能够丢弃源自所配置MAC地址的流量。通过使用这种特性,网络管理源能够防止未授权主机向网络发送流量。
第十五讲:神州交换机端口安全配置
weixin_41687096的博客
12-28 2085
神州交换机端口安全配置。
Port Security (端口安全
vx XIxi_AL
11-06 6894
是cisco 交换机上所支持的特性,它可以在交换机端口上限定一个具体的MAC 地址或限定MAC 地址的数量。 合法的MAC 地址才能使用端口。合法地址可以自动学习也可静态定义合法MAC 地址 SW(config-if)#switchport port-security #开启端口安全,默认只允许学习到一个MAC地址 SW(config-if)#switchport port-security maximum 2 #设置可以允许学到两个MAC地址 SW(config-if...
86、交换机安全MAC层***配置实验之Static CAM
weixin_34390996的博客
01-11 61
1、Static CAM解析实验static CAM我们可以自行定义丢弃某个vlan内某台主机的流量mac address-table static aaaa.bbbb.cccc vlan 1 drop2、实验拓扑3、实验配置配置Static前的连通性配置Static后的连通性S1(config)#mac address-table static 94DE.801D.3277...
交换机(思科网络技术)
qq_52572989的博客
09-13 2832
交换机一、基础知识硬件基础加电启动二、工作机制构造和维护MAC地址表交换数据帧三、 基本配置进入交换机配置各种工作模式其他配置配置帮助show命令的基本使用 一、基础知识 交换机(switch):电/光信号转发的网络设备,为接入的任意两个网络节点提供独享的的电信号通路。 常见交换机:以太交换机 广域交换机: 硬件基础 加电启动 二、工作机制 构造和维护MAC地址表 交换数据帧 三、 基本配置 进入交换机配置 各种工作模式 其他配置 配置帮助 show命令的基本使用 ...
getprocessid.rar_delphi 字符_delphi 字符串_delphi 查看端口_进程的ID_进程连接端口
09-20
delphi获取进程连接端口,是一个进程连接端口查看器的源码,可输出TCP连接表,获取UDP连接表,将连接表信息保存到文件,创建进程快照,根据文件名查找文件信息,根据进程ID查找可执行文件路径,根据进程ID查找可执行...
jcsm.rar_C 端口扫描_DEMO_ip 端口_jcsm
09-21
IP地址检测和端口扫描程序的源代码,包含DEMO和SOURCE CODE
heihei.rar_完成端口_完成端口 聊天_服务器
09-19
一个用完成端口编写的聊天程序,包括服务器和客户端
hideProc-master.zip_hideproc_端口 隐藏_端口隐藏_隐藏端口_驱动隐藏
07-14
驱动隐藏端口端口隐藏后无法通过系统命令查看
Cisco命令整理
09-09
交换命令 •CDP• Sw(config)#cdp run //打开CDP(交换机默认) Sw(config)#no cdp run //关闭CDP Sw(config-if)#(no) cdp enable //接口下打开/关闭CDP Show cdp neighbors //显示邻居设备 Show cdp neighbors detail //显示邻居细节 Show cdp //显示CDP发送时间,holdtime时间 Show cdp traffic //显示CDP流量统计信息 Debug cdp packets •Switch工作原理• sw1(config)#interface f0/1 sw1(config-if)#duplex (full|half|auto) //duplex用来配置接口的双工模式:full-全双工 half-半双工 auto-自动监测双工的模式 Sw#show mac-address-table aging-time //老化时间 Sw(config)# mac-address-table aging-time 150 vlan 1 //有的版本没有 Sw#show mac-address-table //查看MAC地址表 SW#clear mac address-table dynamic //清除MAC动态地址表项 Sw(config)#mac address-table static xxxx.xxxx.xxxx vlan x interface interface0/0 //将某一MAC地址静态添加到某一VLAN的某一接口 SW(config)#mac address-table static xxxx.xxxx.xxxx vlan 1 drop //基于MAC地址表过滤某台机器,可防止ARP sw1#copy running-config startup-config //保存配置 SW#erase startup-config //清空路由器只这一条 SW#delete flash:vlan.dat //交换机有这条 SW#reload //清空交换机配置的3步命令 •Frame-relay•
【交换安全】交换机端口安全Port-Security超级详解
热门推荐
mypanlong的专栏
10-07 3万+
一、Port-Security概述   在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现:  
mac地址容量的作用_mac地址理论知识与配置步骤
weixin_39864387的博客
12-24 1254
mac地址理论知识1、基础知识如今的网络是分层来实现的,就像是搭积木一样,先设计某个特定功能的模块,然后把模块拼起来组成整个网络。局域网也不例外,一般来说,在组网上我们使用的是IEEE802参考模型,从下至上分为:物理层、媒体接入控制层(MAC),逻辑链路控制层(LLC)。标识网络中的一台计算机,一般至少有三种方法,最常用的是域名地址、IP地址和MAC地址,分别对应应用层、网络层、物理层。网络管理...
交换机端口安全 port-security配置详解
MySpace
10-17 1万+
一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现: 二、理
交换机MAC地址表
weixin_34071713的博客
08-31 911
交换机在转发数据时,需要根据MAC地址表来做出相应转发,如果目标主机的MAC地址不在表中,交换机将收到的数据包在所有活动接口上广播发送。当交换机上的接口状态变成UP之后,将动态从该接口上学习MAC地址,并且将学习到的MAC地址与接口相对应后放入MAC地址表。 交换机的MAC地址表除了动态学习之外,还可以静态手工指定,并且在指定MAC地址时,还可以指定在某个VLAN的...
屏蔽MAC地址,45上测试成功
大任的网络专栏
07-15 1102
mac-address-table static 0021.5e5b.5a6f vlan 700 drop mac-address-table static 0021.5e90.2386 vlan 700 drop
在Cisco交换机上使用protected port隔离二层trunk端口
The 44th Demilitarized Zone
04-10 4484
案例环境: 我司酒店客房,房间内部署面板AP。面板AP的前面板网口同时给住客提供有线接入。 出于安全考虑,要求AP的capwap隧道使用一个vlan100,住客的有线网接入使用另一个vlan200。所有业务在各个客房之间二层隔离,从客房只能访问网关。 上述需求,因为涉及了多个vlan,故需要在楼层接入交换机的端口上使用trunk。 根据资料,cisco提供了一种pvlan扩展技术,
MAC安全(防MAC泛洪攻击)
China-P的博客
11-27 4061
2.7 丢弃全0非法MAC地址报文--网络中一些主机或设备发生故障时,会发送源或目的MAC全0报文。2.4 MAC-Spoofing-Defend--一个端口学习的MAC不会再其他端口上学习。2.5 MAC地址防漂移--对于固定的上行设备,通过提供端口优先级,可防止伪造MAC攻击。2.8 MAC地址刷新ARP功能--MAC地址表项端口发生变化,及时更新ARP表项。2.2 限制MAC地址学习数量--可以防止变化MAC地址攻击(搭配表项3配置)1.3 黑洞表项:丢弃特定源MAC或目的MAC,不会老化。
交换机的端口安全
weixin_34128501的博客
12-28 255
1、端口安全主要可以完成一下功能 ① 限制接入交换机某个端口MAC地址最大数量 ② 可以限制接入交换机某个端口MAC地址 ③ 对于接入交换机某个端口所发生的违规情况进行处理 ④ 防止arp欺骗*** 2、端口安全的配置和验证 TP构建的拓扑图及地址分配 (1)设定SwitchA的F0/24端口最多可以接入3个MAC地址,并设定可接入的MAC地...
w10查看端口_win10系统查看端口是否打开的操作方法
最新发布
06-03
要在Windows 10中查看端口是否打开,可以按照以下步骤操作: 1. 打开“控制面板”并切换到“系统和安全”类别。 2. 点击“Windows Defender 防火墙”选项。 3. 在左侧面板中,选择“高级设置”。 4. 在左侧面板...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值