2024年6月12日,日报
网络安全
概述数通方向的网络安全做的很有限,一般针对交换机接入层去做,力度也非常小。
大部分实际上软件层面也可以实现相应的功能
以太网安全
端口隔离
前提知识
二层转发 跟三层转发的区别
二层转发依赖mac地址转发 三层转发基于IP地址转发。 看目的地址。
引出的需求
正常来说通过vlan来划分广播域,隔离端口,但是随着业务的变化,vlan 的划分不能满足业务需求 所以通过vlan 的方式会造成资源的浪费
实现方式
通过用户组的方式实现,将一个在vlan 中的端口加入到用户组中
原理跟类型
命令
port-isolate enable [ group group-id ]
port-isolate mode { l2 | all }
am isolate {interface-type interface-number }&<1-8>
MAC地址表安全
###MAC地址表的类型
动态mac地址表
从接口学习到的,老化,复位。老化时间5min(在真实环境中通过mac地址表找设备 要在设备断线5分钟内)
静态mac地址表
手动配置的下发的,保存在系统中,不会老化跟丢失
黑洞mac地址表
手动配置不会老化,接口收到这个mac地址后会丢失
MAC地址表的安全功能
1、静态mac地址表项
通过固定设备的MAC地址的方式将信任的用户的MAC地址变成静态MAC地址
2、黑洞mac地址表项
防止黑客攻击 将黑客的MAC地址加入到黑洞表项,收到的报文也丢弃处理
3、动态mac地址老化时间
配置MAC地址老化时间,减少mac地址爆炸式增长
4、禁止MAC地址学习功能
特定的环境下,开启mac地址禁止学习功能,限制非信任用户接入保证网络的安全
5、限制MAC地址学习数量
通过限制mac地址学习的数量,防止黑客变换mac地址进行攻击