ensp:端口安全

于 2024-09-29 15:13:02 发布
阅读量1k 收藏 16
点赞数 18
文章标签: 网络 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wshyha/article/details/142636126
版权

端口安全是一种重要的网络安全技术,通过控制网络设备端口的访问来防止未经授权的设备接入和数据包的传输。以下是对端口安全原理及其实验配置的详细解释:

一、端口安全原理

基本原理

MAC地址记录:端口安全通过记录连接到交换机端口的以太网MAC地址(网卡号),并只允许特定的MAC地址通过本端口通信来实现安全控制。

阻止非法MAC地址:当其他MAC地址尝试通过该端口时,会被阻止,从而防止非法设备的接入和数据包的传输。

主要功能

限制MAC地址数量:端口安全能够限制特定端口上可以学习和接受的MAC地址数量,超过这个数量后,新的MAC地址将无法通过该端口进行通信。

保护措施:当检测到非法MAC地址或未授权的设备试图通过端口时,端口安全机制会采取一系列保护措施,如丢弃非法报文、发送警告消息等。

配置方式

静态绑定:管理员可以通过静态绑定的方式,手动指定允许通过特定端口的MAC地址,这种方式适用于固定不变的网络环境。

动态学习:对于动态变化的网络环境,可以采用动态学习的方式,让交换机自动学习并记录通过端口的MAC地址。

违规动作

执行策略:当端口接收到未经允许的MAC地址流量时,交换机会根据预先设置的策略执行相应的违规动作,如关闭端口、发送警告消息等。

安全优势

防止未经授权的设备接入:端口安全能够有效防止未经授权的设备接入网络,减少潜在的安全风险。

防止MAC地址泛洪攻击:通过对端口上的MAC地址进行严格控制,可以有效防止MAC地址泛洪攻击,保护网络的稳定性和可用性。

二、实验配置

实验拓扑

实验配置步骤

<Huawei>sys      #进入系统视窗

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname s1      #改名

[s1]int g0/0/1      #进入接口

[s1-GigabitEthernet0/0/1]port-security enable      #启用端口安全功能

[s1-GigabitEthernet0/0/1]port-security max-mac-num 2      #设置mac最大学习数量为2

[s1-GigabitEthernet0/0/1]port-security protect-action shutdown      #保护动作为关闭接口

[s1-GigabitEthernet0/0/1]q

[s1]dis mac-add      #查看mac地址表

[s1]int g0/0/2      #进入接口

[s1-GigabitEthernet0/0/2]port-security enable      

[s1-GigabitEthernet0/0/2]port-security max-mac-num 1

[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1

      #尝试设置静态MAC地址,但提示Sticky MAC未启用

Error: Sticky MAC is not enabled.

[s1-GigabitEthernet0/0/2]port-security mac-address sticky      #启用Sticky MAC功能

[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1

      #再次尝试设置静态MAC地址

[s1-GigabitEthernet0/0/2]q

[s1]dis mac-add

[s1]int g0/0/3

[s1-GigabitEthernet0/0/3]port-security enable

[s1-GigabitEthernet0/0/3]port-security mac-address sticky      #启用Sticky MAC功能

[s1-GigabitEthernet0/0/3]port-security max-mac-num 1

[s1-GigabitEthernet0/0/3]q

[s1]dis mac-add

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  

               VSI/SI                                              MAC-Tunnel  

-------------------------------------------------------------------------------

5489-9809-5783 1           -      -      GE0/0/2         sticky    -           

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 1

[s1]dis mac-add

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  

               VSI/SI                                              MAC-Tunnel  

-------------------------------------------------------------------------------

5489-9809-5783 1           -      -      GE0/0/2         sticky    -           

5489-98fd-042c 1           -      -      GE0/0/3         sticky    -           

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 2

[s1]

通过以上步骤,可以成功配置交换机的端口安全功能,包括启用端口安全、设置最大MAC地址数量、设置保护动作以及配置静态MAC地址。

23zhgjx-hyh
关注
eNSP】交换机的端口安全
m0_73621267的博客
02-10 1847
允许两个pc通过,没有特定指哪个: ①配置pc的地址及子网掩码 ②进入端口,开始配置 port-security enable开启端口安全功能 port-security max-mac-num 2 (2是允许通过的pc的最大量,可改) ps:如果只允许一个pc通过,没有强调是哪个,就是第一个跟交换机通信的(没设置端口安全是它的类型叫dynamic,设置后叫security) 特定只允许这一个通过: ①配置pc的地址及子网掩码 ②进入端口,开始配置 port-se
华为ensp模拟器实验:端口安全绑定MAC地址ip地址
cc123489ll的博客
05-05 686
端口安全,交换机会通过记录连接到端口的,并只允许某个MAC地址通过本端口通信。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址造成填满。简单了解一下端口安全就行了,不说多。实验环境如下:PC1-1是为实验配置准备替换PC1来确定绑定结果的给PC1和PC2配置上ip地址后,两台PC机已经能够正常通信这是交换机未做任何配置的,只要同一网段都PC机都能够通信。
粘性(stickymac地址
weixin_34060741的博客
06-22 6763
粘性(stickymac地址是端口安全的一种应用,顾名思义,就是将交换机端口发现的对端设备的mac地址粘贴到mac-address-table中,省的管理员一个个输入进去了。粘性mac通常与port-security ,port-security maxmum num 命令共用如:#switchport port-security #switchport port-secu...
eNSP—配置交换机端口安全
m0_46237205的博客
05-06 9460
拓扑图如下: 1,配置主机IP 2,配置交换机端口安全 3,用PC1去pingPC2和PC3 4,交换pc1机与pc2机的直通线 4,在pc1机上ping pc2机与pc3机发现交换机原E0/0/2端口关闭(PC2无法接入交换机)
华为 eNSP 端口安全综合
想去见见你的博客
10-01 3706
端口隔离实验 注意:这里的三台PC机,就添加相应的IP地址即可,不需要添加其他,遵循一一对应原则。 未添加端口隔离命令之前,三台PC机相互测试 得出结论: 能够相互ping通,能够正常通信。 添加端口隔离命令后—— port-isolate mode l2 interface e0/0/1 port-isolate enable group 1 interface e0/0/2 port-isolate enable group 1 能够达到实验要求,任务完成。 端口安全实验 ...
核心实验15_端口安全_ENSP
garliccc的博客
09-12 595
核心实验15_端口安全_ENSP可指定该接口下最多接入几个设备(通过mac绑定实现),人为增加设备时可设置接口自动down掉等,详见补充。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 318
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
Ensp交换机端口安全实训
最新发布
05-26
- 启用端口安全:通过命令`port-security enable`激活端口安全功能。 - 设置MAC地址粘性:通过`port-security mac-address sticky`命令实现动态学习并将MAC地址绑定到端口。 - 静态绑定MAC地址:利用`user-bind ...
ensp练习:防火墙安全策略配置
热门推荐
zaqzaqzaqzzz的博客
09-26 4万+
一、实验目的: 1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略的配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv...
eNSP:访问控制列表 ACL
SmallSweets的博客
01-01 3485
这里写目录标题ACL :访问控制列表(Access Control List)ACL中的规则应用 ACL :访问控制列表(Access Control List) 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 ACL的作用就是根据条件对传输到接口的数据包进行过滤 ACL是由一系列规则组成的集合。设备可以通
eNSP——交换机高级特性(MUX-VLAN、端口隔离、ARP代理、super-vlan、QinQ、端口镜像)
scy1034446395的博客
01-03 952
eNSP——交换机高级特性(MUX-VLAN、端口隔离、ARP代理、super-vlan、QinQ、端口镜像)
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
IP课:端口安全、时间acl、二层acl实验
weixin_45908354的博客
08-11 1612
一、 端口安全 SW3: [sw3]int e0/0/1 [sw3-Ethernet0/0/1]port-security enable [sw3-Ethernet0/0/1]port-security mac-address sticky 5489-98D1-30ED vlan 2 Error: Sticky MAC is not enabled. [sw3-Ethernet0/0/1]port-security protect-action protect [sw3]int e0/0/2 [sw3-.
sticky 不生效
jia_ya的博客
12-04 116
2. 父级 overflow 属性。
看完端口安全功能详解,我恍然大悟!!
qq_45811376的博客
04-22 4513
端口安全 端口安全(port Security)通过将借口学习到的动态MAC地址转换为 安全MAC地址(包括安全动态MAC安全静态MACSticky MAC),组织非法用户 通过本接口和交换机通信,从而增强设备的安全性。 》安全MAC地址的分类 1)安全动态MAC地址 定义:使能端口安全而未使能Sticky MAC功能时转换的MAC地址 特点:设备重启后表象会丢失,需要重新学习,缺省情况下不会...
ENSP端口安全
博客:成熟的设备
02-18 6449
华为模拟器上的端口安全实验教学0基础也可以学
如何在ensp中配置端口安全
09-15
3. 在配置模式下,输入以下命令来启用端口安全: port-security enable 4. 接下来,使用以下命令配置端口安全的参数: port-security port max-mac-num 1 // 设置端口允许连接的 MAC 地址数量为 1 port-...
ensp上配置安全策略
XL5L7的博客
03-28 9941
前言 我是在win10的虚拟机上操作的,利用ensp工具简易搭了一个网络环境 操作之前要将IP地址配置到各设备上(每台设备边上的IP就是该设备的IP,如192.168.5.2/24是pc1的IP地址) 配置思路: 配置pc机的IP 配置防火墙 设置防火墙密码 1.配置防火墙接口地址 2.通过安全区域区分受信任网络和不受信任网络 配置安全区域,把接口分配到相应的安全区域 g1/0/0 --trust g1/0/1 --untrust 查看配置结果 注意:如果要删除某个安全区域的接口,应
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值