华为交换机-端口安全

已于 2025-02-21 10:30:24 修改
阅读量809 收藏 11
点赞数 5
分类专栏: 网络通信 文章标签: 华为 安全 运维 网络
于 2024-07-29 09:35:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46686336/article/details/140762884
版权

华为交换机-端口安全

一、简介
1、概念

端口安全是指在网络设备中对物理端口和逻辑接口进行限制和保护,以防止未经授权的访问和攻击

2、作用

提供对网络物理接口的保护,防止未授权设备接入网络

限制设备连接数量,防止攻击者通过多重连接进行网络攻击

通过MAC地址绑定等功能,防止网络中的欺骗攻击和非法设备接入

增强网络安全性,保护网络免受未经授权的访问和攻击

二、优化与建议
1、物理端口

确保未使用的物理端口都被禁用,以减少潜在的安全风险

2、限制通信

通过配置访问控制列表(ACL)来限制不同VLAN之间的通信,从而实现网络隔离

3、限制MAC数量

配置每个端口可学习的MAC地址数量,以防范MAC泛洪攻击配置每个端口可学习的MAC地址数量,以防范MAC泛洪攻击

4、静态MAC绑定

将重要设备的MAC地址与端口进行绑定,防止未授权设备接入

5、审查策略

定期检查端口安全的配置和策略,确保符合最佳实践和安全政策

6、安全日志

配置记录端口安全事件,并设置端口异常状态的告警,以便及时响应安全事件

三、MAC绑定实验
1、实验拓扑图

image-20230526163755569

2、交换机1
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname SW1
[SW1]interface Ethernet 0/0/1
[SW1-Ethernet0/0/1]port-security enable
[SW1-Ethernet0/0/1]port-security mac-address sticky
[SW1-Ethernet0/0/1]port-security mac-address sticky 5489-98DF-172E vlan 1
[SW1-Ethernet0/0/1]port-security max-mac-num 1
[SW1-Ethernet0/0/1]port-security protect-action shutdown
2、查询端口配置
[SW1-Ethernet0/0/1]dis this
#
interface Ethernet0/0/1
 port-security enable
 port-security protect-action shutdown
 port-security mac-address sticky
#
return
3、MAC地址绑定
[SW1-Ethernet0/0/1]dis mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98df-172e 1           -      -      Eth0/0/1        sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1 

MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98a5-2e61 1           -      -      Eth0/0/2        dynamic   0/-         
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
4、实验结果

image-20230526163951124

5、更换主机

更换主机试试ping 10.2

image-20230526164046913

image-20230526164141275

ping不通当PC3把ARP报文发给交换机转发时,交换机发现MAC地址不一样,直接关闭端口

6、主机截图

image-20230526164253669

image-20230526164302309

端口隔离 Port isolation 华为交换机配置端口隔离
zhurobert的博客
08-17 1428
端口隔离 Port isolation 华为交换机配置端口隔离
华为交换机命令 端口速率_华为交换机端口速率
weixin_39956353的博客
12-20 8774
看懂用好华为交换机端口信息在遇见下面这样情况的时候一般大家会采取何种方法去判断? 1、交换机某一端口下的用户出现丢包 2、交换机下所有用户都在丢包 3、用户......来源: /sosofa/blog/item/7a595ccf270e503bf9dc6150.html 华为交换机常用命令 2008-10-07 15:45 dis vlan 显示 vlan name text 指定......交换...
华为数通---配置端口安全案例
2301_77081516的博客
12-05 832
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
华为交换机安全端口实验
tushanpeipei的博客
12-13 5227
模拟器:eNSP 安全端口: 将设备端口学习到的MAC地址变为安全MAC地址(分为两类:安全动态MAC地址和Sticky安全地址,这两类地址是设备信任的地址),以阻止除了安全动态MAC和静态MAC之外的主机通过本接口和交换机通信。 安全MAC地址类型: 1.安全动态MAC地址: 当接口上学习到了MAC地址,地址会转换为动态MAC地址,如果当接口上学习的最大MAC地址数量达到上限以后不会再学习新的安全动态MAC地址,并且只允许原来学习到的地址的设备进行入交换机进行通信。开启端口后,默认学习到的最大地址数为1,
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1223
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2571
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
华为端口安全简介
m0_73258133的博客
11-22 1940
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。
华为交换机端口安全配置
Jian Sun_的博客
05-14 4329
采用如下的思路配置端口安全: 1.配置VLAN,实现二层转发功能。 2.配置端口安全功能,实现学习到的MAC地址表项不老化。 操作步骤 1. 在Switch上创建VLAN,并把接口加入VLAN #创建VLAN。 <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan 10 [Switch-vlan10] quit [Switch] interface gigabitethernet 1...
华为交换机端口安全Port-Security策略应用(静态绑定)
weixin_56548356的博客
10-11 2447
二层安全
华为交换机做镜像端口以及删除的方法
10-01
华为交换机端口镜像功能主要用于网络监控和故障排查,它允许将一个或多个端口的入方向或出方向的流量复制到指定的镜像端口。通过这种方式,网络管理员可以将端口流量重定向到分析或监控设备上,以便实时查看和分析...
华为交换机安全端口实验.docx
11-06
华为交换机安全端口实验 华为交换机安全端口实验是指在华为交换机中配置安全端口,以阻止非法的 MAC 地址访问交换机。安全端口实验可以分为两类:安全动态 MAC 地址和 Sticky MAC 地址。 安全动态 MAC 地址是一种...
华三华为交换机-路由器配置常用命令.pdf
06-05
6. 同交换机,`undo shutdown`和`shutdown`用于开启或关闭端口。 7. `ip route-static`:配置静态路由,包括目的网络、子网掩码和下一跳地址,可以配置默认路由。 三、H3C S3100、S3600和MSR 20-20 Router配置注意...
华为端口安全
weixin_45123715的博客
04-04 3807
端口安全是交换机上的功能 端口安全功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和sticky MAC),可以阻止除安全MAC之外的主机通过本接口和交换机通信,从而增强设备安全性 当主机C断开连接,默认交换机会删除接口对应的MAC地址,开启了端口安全后,主机C断开后你不允许其他主机接入,这种地址叫做安全MAC地址 在交换机上还可以设置允许接入的最大MAC地址数量,学习到的MAC地址都与g0/0/1接口对应,如下图switch 普通MAC地址表老化时间为5min 端口安全分类: 1
交换机端口安全总结
weixin_33736832的博客
11-16 223
交换机端口安全总结最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。 首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。 1.MAC地址与端口绑定,当发现主...
华为端口安全配置详解
qq_61685194的博客
03-10 2785
port-security mac-address sticky 5489-9830-0D4B vlan 10--写入安全静态mac。port-security aging-time 800----配置地址老化时间为800s(默认老化时间无限)port-security max-mac-num 2---接口下接口学习的安全MAC地址限制数量为2。port-security mac-address sticky---开启接口Sticky MAC功能。不好的的地方,或者有哪些地方有错误,请大家批评指正。
华为交换机端口安全
zj2059129607的博客
11-23 317
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置
最新发布
qq_23930765的博客
05-12 1029
隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置ACL)。display nat outbound # 查看NAT规则。display nat-policy # 查看NAT策略。display ip routing-table # 查看路由表。确保NAT规则的应用方向(inbound/outbound)正确。华三通过显式定义安全区域(Zone),并将接口加入区域。验证NAT规则是否生效(查看转换后的地址)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值