HCIP--以太网交换安全(一)

zhgjx_chen2024-10-01 15:44

目录

端口隔离

MAC地址表安全

以太网交换安全概述:以太网交换安全是一系列技术和策略的集合,旨在保护以太网交换机免受各种网络攻击和威胁。

端口隔离

一、端口隔离概述:

作用:可以实现同一个VLAN内端口的隔离

优势: 端口隔离功能为用户提供了更安全,更灵活的组网方案

补充:正常情况下,不同vlan是不能相互访问的但端口隔离就相反。端口隔离用来解决同一个vlan中的主机,不想互相访问的需求。

二、 实验配置

实验目的:

了解端口隔离的配置和方法 ,将PC1和PC2加入隔离组,两者不能访问,但两者都有可以访问PC3

实验步骤:

  1. 在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组

  2. 配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信

  3. 在全局配置端口隔离模式为二层、三层同时隔离

实验拓扑:

(1)在LSW1中将G0/0/1和G0/0/2接口加入隔离组

<Huawei>sys

Huaweiundo info-center enable

Huaweisys LSW1

LSW1int g0/0/1

LSW1-GigabitEthernet0/0/1port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1

LSW1-GigabitEthernet0/0/1quit

LSW1int g0/0/2

LSW1-GigabitEthernet0/0/2port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1

LSW1-GigabitEthernet0/0/2quit

测试:PC1和PC2放在同一个隔离组,无法互相访问

但是可以访问PC3

(2)配置vlanif接口,开启vlan内的ARP代理功能,实现PC1和PC2互相通信

LSW1int vlanif 1

LSW1-Vlanif1ip address 10.1.1.254 24

LSW1-Vlanif1arp-proxy inner-sub-vlan-proxy enable

测试PC1访问PC2,可以看得出访问成功

(3) 在全局模式下配置端口隔离模式为二层、三层同时隔离

LSW1port-isolateode all //配置端口隔离模式为二层、三层同时隔离

测试PC1访问PC2,可以看出访问超时,说明三层隔离成功。

三、总结

总的来说,端口隔离技术是提高网络安全性的有效手段之一。通过本次实验,不仅成功实现了端口隔离的配置,并验证了其效果 。

MAC地址表安全

一、MAC的基本概述

MAC基本概念:

MAC地址表记录了连接到交换机的设备的MAC地址及其对应的端口信息。这是交换机进行数据转发决策的基础。

MAC地址表安全的主要类型:

动态MAC地址表项:由接口通过报文中的源MAC地址获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。

静态MAC地址表项:由用户手动配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其它接口收到源MAC地址的报文将会被丢弃。

黑洞MAC地址表项:由用户手工配置并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

MAC地址表安全功能:

二、实验配置

拓扑
实验步骤:

  1. 配置S1的G0/0/1口的最大mac地址学习数量为1;

  2. 将攻击者的mac地址设置为黑洞mac;

  3. 将PC4的mac地址静态绑定在S1的G0/0/3口。

(1)在S1的G0/0/1接口上配置最大MAC地址学习数量为1

<Huawei>sys

Huaweisysname S1

S1undo info-center enable

S1int g0/0/1

S1-GigabitEthernet0/0/1mac-limit maximum 1

使用PC1访问PC4,再查看S1的MAC地址表

从这里可以看出G0/0/1接口已经学习到了PC1的MAC地址表,可以再拿另外一台终端访问PC4,这时会出现警告。

(2)将攻击者的的MAC地址设置为黑洞MAC地址

S1mac-address blackhole 5489-9809-5783 vlan 1

查看MAC地址表,可以看得出MAC地址类型为blackhole。

使用攻击者访问任意一台主机,应该都无法通的

(3)将PC4的MAC地址静态绑定在S1的G0/0/3接口

S1mac-address static 5489-98FD-042C GigabitEthernet 0/0/3 vlan 1

查看MAC地址

三、总结

MAC地址表安全是网络安全管理中的一个关键环节,它涉及到MAC地址表的基本概念、类型、配置命令以及应用场景等多个方面。通过合理配置和管理MAC地址表,可以有效提高网络的安全性和稳定性,保护网络免受未授权访问和其他安全威胁的影响。

相关推荐
Multipath71237 分钟前
无人区不掉线:多链路聚合路由,为环塔拉力赛筑起“空中通讯走廊”
网络·5g·安全·无人机·实时音视频
lcreek1 小时前
SQL 注入实战:DVWA Medium完整测试指南
网络安全·sql注入
上海云盾-小余3 小时前
接口高频恶意刷取怎么防?网关限流搭配 WAF 联合防护方案
网络·安全
潜创微科技3 小时前
4K60 over IP 方案简介
网络·嵌入式硬件·网络协议·tcp/ip·音视频
treesforest3 小时前
自媒体账号限流排查指南:从风控算法视角看IP纯净度与网络隔离
网络·tcp/ip·ip·媒体
pride.li3 小时前
海思视觉Hi3516CV610--开机自动设置ip
linux·网络·网络协议·tcp/ip
持敬chijing5 小时前
Web渗透之SQL注入-二次注入(Second-Order SQL Injection)
sql·安全·web安全·网络安全·网络攻击模型·安全威胁分析
AskHarries5 小时前
权限模型:Shell、Browser、文件读写的安全边界
服务器·前端·网络
咖啡星人k5 小时前
MonkeyCode 网络架构:WebSocket、SSE与实时协作的技术选型
网络·websocket·架构·monkeycode
稷下元歌6 小时前
七天学会plc 加机器视觉完整笔记:S7-1200 数据类型、存储区与寻址方式(I/Q/M/DB 详解)。
网络·数据库·笔记
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试09CC-Switch & Claude 基于 Linux 服务器安装使用指南10AI科技热点日报 | 2026年6月1日