2024年6月12日，日报

2024年6月12日，日报

网络安全

概述数通方向的网络安全做的很有限，一般针对交换机接入层去做，力度也非常小。
大部分实际上软件层面也可以实现相应的功能

以太网安全

端口隔离

前提知识

	二层转发 跟三层转发的区别
	二层转发依赖mac地址转发 三层转发基于IP地址转发。 看目的地址。

引出的需求

正常来说通过vlan来划分广播域，隔离端口，但是随着业务的变化，vlan 的划分不能满足业务需求 所以通过vlan 的方式会造成资源的浪费

实现方式

通过用户组的方式实现，将一个在vlan 中的端口加入到用户组中

原理跟类型

命令

port-isolate enable [ group group-id ]
port-isolate mode { l2 | all }
am isolate {interface-type interface-number }&<1-8>

MAC地址表安全

###MAC地址表的类型

动态mac地址表

从接口学习到的，老化，复位。老化时间5min（在真实环境中通过mac地址表找设备 要在设备断线5分钟内）

静态mac地址表

手动配置的下发的，保存在系统中，不会老化跟丢失

黑洞mac地址表

手动配置不会老化，接口收到这个mac地址后会丢失

MAC地址表的安全功能

1、静态mac地址表项

通过固定设备的MAC地址的方式将信任的用户的MAC地址变成静态MAC地址

2、黑洞mac地址表项

防止黑客攻击 将黑客的MAC地址加入到黑洞表项，收到的报文也丢弃处理

3、动态mac地址老化时间

配置MAC地址老化时间，减少mac地址爆炸式增长

4、禁止MAC地址学习功能

特定的环境下，开启mac地址禁止学习功能，限制非信任用户接入保证网络的安全

5、限制MAC地址学习数量

通过限制mac地址学习的数量，防止黑客变换mac地址进行攻击

命令

端口安全

MAC地址防漂移与检测

MACsec

交换机流量控制