目录
以太网交换安全概述:以太网交换安全是一系列技术和策略的集合,旨在保护以太网交换机免受各种网络攻击和威胁。
端口隔离
一、端口隔离概述:
作用:可以实现同一个VLAN内端口的隔离
优势: 端口隔离功能为用户提供了更安全,更灵活的组网方案
补充:正常情况下,不同vlan是不能相互访问的但端口隔离就相反。端口隔离用来解决同一个vlan中的主机,不想互相访问的需求。
二、 实验配置
实验目的:
了解端口隔离的配置和方法 ,将PC1和PC2加入隔离组,两者不能访问,但两者都有可以访问PC3
实验步骤:
-
在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组
-
配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信
-
在全局配置端口隔离模式为二层、三层同时隔离
实验拓扑:
(1)在LSW1中将G0/0/1和G0/0/2接口加入隔离组
<Huawei>sys
Huawei\]undo info-center enable
\[Huawei\]sys LSW1
\[LSW1\]int g0/0/1
\[LSW1-GigabitEthernet0/0/1\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1
\[LSW1-GigabitEthernet0/0/1\]quit
\[LSW1\]int g0/0/2
\[LSW1-GigabitEthernet0/0/2\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1
\[LSW1-GigabitEthernet0/0/2\]quit
测试:PC1和PC2放在同一个隔离组,无法互相访问
但是可以访问PC3
(2)配置vlanif接口,开启vlan内的ARP代理功能,实现PC1和PC2互相通信
\[LSW1\]int vlanif 1
\[LSW1-Vlanif1\]ip address 10.1.1.254 24
\[LSW1-Vlanif1\]arp-proxy inner-sub-vlan-proxy enable
测试PC1访问PC2,可以看得出访问成功
(3) 在全局模式下配置端口隔离模式为二层、三层同时隔离
\[LSW1\]port-isolateode all //配置端口隔离模式为二层、三层同时隔离
测试PC1访问PC2,可以看出访问超时,说明三层隔离成功。
####  三、总结
总的来说,端口隔离技术是提高网络安全性的有效手段之一。通过本次实验,不仅成功实现了端口隔离的配置,并验证了其效果 。
### MAC地址表安全
#### 一、MAC的基本概述
##### MAC基本概念:
MAC地址表记录了连接到交换机的设备的MAC地址及其对应的端口信息。这是交换机进行数据转发决策的基础。
##### MAC地址表安全的主要类型:
动态MAC地址表项:由接口通过报文中的源MAC地址获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
静态MAC地址表项:由用户手动配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其它接口收到源MAC地址的报文将会被丢弃。
黑洞MAC地址表项:由用户手工配置并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
##### MAC地址表安全功能:
#### 二、实验配置
##### 拓扑
##### 实验步骤:
1. 配置S1的G0/0/1口的最大mac地址学习数量为1;
2. 将攻击者的mac地址设置为黑洞mac;
3. 将PC4的mac地址静态绑定在S1的G0/0/3口。
(1)在S1的G0/0/1接口上配置最大MAC地址学习数量为1
\