HCIP--以太网交换安全(一)

目录

端口隔离

MAC地址表安全


以太网交换安全概述:以太网交换安全是一系列技术和策略的集合,旨在保护以太网交换机免受各种网络攻击和威胁。

端口隔离

一、端口隔离概述:

作用:可以实现同一个VLAN内端口的隔离

优势: 端口隔离功能为用户提供了更安全,更灵活的组网方案

补充:正常情况下,不同vlan是不能相互访问的但端口隔离就相反。端口隔离用来解决同一个vlan中的主机,不想互相访问的需求。

二、 实验配置

实验目的:

了解端口隔离的配置和方法 ,将PC1和PC2加入隔离组,两者不能访问,但两者都有可以访问PC3

实验步骤:
  1. 在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组

  2. 配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信

  3. 在全局配置端口隔离模式为二层、三层同时隔离

实验拓扑:

(1)在LSW1中将G0/0/1和G0/0/2接口加入隔离组

<Huawei>sys

Huawei\]undo info-center enable \[Huawei\]sys LSW1 \[LSW1\]int g0/0/1 \[LSW1-GigabitEthernet0/0/1\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1 \[LSW1-GigabitEthernet0/0/1\]quit \[LSW1\]int g0/0/2 \[LSW1-GigabitEthernet0/0/2\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1 \[LSW1-GigabitEthernet0/0/2\]quit 测试:PC1和PC2放在同一个隔离组,无法互相访问 ![](https://i-blog.csdnimg.cn/direct/7af07f1d650e4f1eac0de3681cac96e5.png) 但是可以访问PC3 ![](https://i-blog.csdnimg.cn/direct/de0eca48fddc48bb96039fdb4d94328d.png) (2)配置vlanif接口,开启vlan内的ARP代理功能,实现PC1和PC2互相通信 \[LSW1\]int vlanif 1 \[LSW1-Vlanif1\]ip address 10.1.1.254 24 \[LSW1-Vlanif1\]arp-proxy inner-sub-vlan-proxy enable 测试PC1访问PC2,可以看得出访问成功 ![](https://i-blog.csdnimg.cn/direct/db9450a0b7744573860ab88933f0bac4.png) (3) 在全局模式下配置端口隔离模式为二层、三层同时隔离 \[LSW1\]port-isolateode all //配置端口隔离模式为二层、三层同时隔离 测试PC1访问PC2,可以看出访问超时,说明三层隔离成功。 #### ![](https://i-blog.csdnimg.cn/direct/885fcf17c922458fbb2491cfdd50faff.png) 三、总结 总的来说,端口隔离技术是提高网络安全性的有效手段之一。通过本次实验,不仅成功实现了端口隔离的配置,并验证了其效果 。 ### MAC地址表安全 #### 一、MAC的基本概述 ##### MAC基本概念: MAC地址表记录了连接到交换机的设备的MAC地址及其对应的端口信息。这是交换机进行数据转发决策的基础。 ##### MAC地址表安全的主要类型: 动态MAC地址表项:由接口通过报文中的源MAC地址获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。 静态MAC地址表项:由用户手动配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其它接口收到源MAC地址的报文将会被丢弃。 黑洞MAC地址表项:由用户手工配置并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。 ##### MAC地址表安全功能: ![](https://i-blog.csdnimg.cn/direct/7aa254a6a39849a6a35ba283a4071c0b.png) #### 二、实验配置 ##### 拓扑 ![](https://i-blog.csdnimg.cn/direct/7aaede14273d419799c67e68e9de1b22.png) ##### 实验步骤: 1. 配置S1的G0/0/1口的最大mac地址学习数量为1; 2. 将攻击者的mac地址设置为黑洞mac; 3. 将PC4的mac地址静态绑定在S1的G0/0/3口。 (1)在S1的G0/0/1接口上配置最大MAC地址学习数量为1 \sys \[Huawei\]sysname S1 \[S1\]undo info-center enable \[S1\]int g0/0/1 \[S1-GigabitEthernet0/0/1\]mac-limit maximum 1 使用PC1访问PC4,再查看S1的MAC地址表 ![](https://i-blog.csdnimg.cn/direct/dd9ae8c8a7b6464db78d2deb89a7da5b.png) ![](https://i-blog.csdnimg.cn/direct/f7ce1c55028c4c668a378ca0e6f5a105.png) 从这里可以看出G0/0/1接口已经学习到了PC1的MAC地址表,可以再拿另外一台终端访问PC4,这时会出现警告。 (2)将攻击者的的MAC地址设置为黑洞MAC地址 \[S1\]mac-address blackhole 5489-9809-5783 vlan 1 查看MAC地址表,可以看得出MAC地址类型为blackhole。 ![](https://i-blog.csdnimg.cn/direct/a533ef775f564df0bc8b3608bdc67ac0.png) 使用攻击者访问任意一台主机,应该都无法通的 ![](https://i-blog.csdnimg.cn/direct/68466171a1c64101ad2f2e61314a4274.png) (3)将PC4的MAC地址静态绑定在S1的G0/0/3接口 \[S1\]mac-address static 5489-98FD-042C GigabitEthernet 0/0/3 vlan 1 查看MAC地址 ![](https://i-blog.csdnimg.cn/direct/218d78f6bdba4fc99c5ccd56df750efd.png) #### 三、总结 MAC地址表安全是网络安全管理中的一个关键环节,它涉及到MAC地址表的基本概念、类型、配置命令以及应用场景等多个方面。通过合理配置和管理MAC地址表,可以有效提高网络的安全性和稳定性,保护网络免受未授权访问和其他安全威胁的影响。

相关推荐
搬码临时工38 分钟前
使用自定义固定公网URL地址远程访问公司内网OA办公系统,本地无需公网IP和专线让外网访问
网络·网络协议·tcp/ip
星马梦缘2 小时前
计算机网络6 第六章 应用层——解决“怎么发请求、怎么回响应”的问题(邮件整体传输流程)
网络·计算机网络·域名·ftp·dns·dhcp
@CLoudbays_Martin112 小时前
为什么动态视频业务内容不可以被CDN静态缓存?
java·运维·服务器·javascript·网络·python·php
东哥说-MES|从入门到精通4 小时前
Mazak MTF 2025制造未来参观总结
大数据·网络·人工智能·制造·智能制造·数字化
sheepwjl4 小时前
《嵌入式硬件(三):串口通信》
网络·嵌入式硬件·网络协议·串口通信
Jayyih5 小时前
嵌入式系统学习DAY28(网络编程)
网络·学习·tcp/ip
Suckerbin5 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
dbdr09015 小时前
Linux 入门到精通,真的不用背命令!零基础小白靠「场景化学习法」,3 个月拿下运维 offer,第二十六天
linux·运维·服务器·网络·python·学习
日更嵌入式的打工仔6 小时前
PHY的自适应协商简析
网络·嵌入式硬件·自适应·phy
lingggggaaaa7 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb