HCIP--以太网交换安全(一)

目录

端口隔离

MAC地址表安全


以太网交换安全概述:以太网交换安全是一系列技术和策略的集合,旨在保护以太网交换机免受各种网络攻击和威胁。

端口隔离

一、端口隔离概述:

作用:可以实现同一个VLAN内端口的隔离

优势: 端口隔离功能为用户提供了更安全,更灵活的组网方案

补充:正常情况下,不同vlan是不能相互访问的但端口隔离就相反。端口隔离用来解决同一个vlan中的主机,不想互相访问的需求。

二、 实验配置

实验目的:

了解端口隔离的配置和方法 ,将PC1和PC2加入隔离组,两者不能访问,但两者都有可以访问PC3

实验步骤:
  1. 在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组

  2. 配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信

  3. 在全局配置端口隔离模式为二层、三层同时隔离

实验拓扑:

(1)在LSW1中将G0/0/1和G0/0/2接口加入隔离组

<Huawei>sys

Huawei\]undo info-center enable \[Huawei\]sys LSW1 \[LSW1\]int g0/0/1 \[LSW1-GigabitEthernet0/0/1\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1 \[LSW1-GigabitEthernet0/0/1\]quit \[LSW1\]int g0/0/2 \[LSW1-GigabitEthernet0/0/2\]port-isolate enable group 1 //将PC1的G0/0/0接口加入端口隔离组1 \[LSW1-GigabitEthernet0/0/2\]quit 测试:PC1和PC2放在同一个隔离组,无法互相访问 ![](https://i-blog.csdnimg.cn/direct/7af07f1d650e4f1eac0de3681cac96e5.png) 但是可以访问PC3 ![](https://i-blog.csdnimg.cn/direct/de0eca48fddc48bb96039fdb4d94328d.png) (2)配置vlanif接口,开启vlan内的ARP代理功能,实现PC1和PC2互相通信 \[LSW1\]int vlanif 1 \[LSW1-Vlanif1\]ip address 10.1.1.254 24 \[LSW1-Vlanif1\]arp-proxy inner-sub-vlan-proxy enable 测试PC1访问PC2,可以看得出访问成功 ![](https://i-blog.csdnimg.cn/direct/db9450a0b7744573860ab88933f0bac4.png) (3) 在全局模式下配置端口隔离模式为二层、三层同时隔离 \[LSW1\]port-isolateode all //配置端口隔离模式为二层、三层同时隔离 测试PC1访问PC2,可以看出访问超时,说明三层隔离成功。 #### ![](https://i-blog.csdnimg.cn/direct/885fcf17c922458fbb2491cfdd50faff.png) 三、总结 总的来说,端口隔离技术是提高网络安全性的有效手段之一。通过本次实验,不仅成功实现了端口隔离的配置,并验证了其效果 。 ### MAC地址表安全 #### 一、MAC的基本概述 ##### MAC基本概念: MAC地址表记录了连接到交换机的设备的MAC地址及其对应的端口信息。这是交换机进行数据转发决策的基础。 ##### MAC地址表安全的主要类型: 动态MAC地址表项:由接口通过报文中的源MAC地址获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。 静态MAC地址表项:由用户手动配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其它接口收到源MAC地址的报文将会被丢弃。 黑洞MAC地址表项:由用户手工配置并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。 ##### MAC地址表安全功能: ![](https://i-blog.csdnimg.cn/direct/7aa254a6a39849a6a35ba283a4071c0b.png) #### 二、实验配置 ##### 拓扑 ![](https://i-blog.csdnimg.cn/direct/7aaede14273d419799c67e68e9de1b22.png) ##### 实验步骤: 1. 配置S1的G0/0/1口的最大mac地址学习数量为1; 2. 将攻击者的mac地址设置为黑洞mac; 3. 将PC4的mac地址静态绑定在S1的G0/0/3口。 (1)在S1的G0/0/1接口上配置最大MAC地址学习数量为1 \sys \[Huawei\]sysname S1 \[S1\]undo info-center enable \[S1\]int g0/0/1 \[S1-GigabitEthernet0/0/1\]mac-limit maximum 1 使用PC1访问PC4,再查看S1的MAC地址表 ![](https://i-blog.csdnimg.cn/direct/dd9ae8c8a7b6464db78d2deb89a7da5b.png) ![](https://i-blog.csdnimg.cn/direct/f7ce1c55028c4c668a378ca0e6f5a105.png) 从这里可以看出G0/0/1接口已经学习到了PC1的MAC地址表,可以再拿另外一台终端访问PC4,这时会出现警告。 (2)将攻击者的的MAC地址设置为黑洞MAC地址 \[S1\]mac-address blackhole 5489-9809-5783 vlan 1 查看MAC地址表,可以看得出MAC地址类型为blackhole。 ![](https://i-blog.csdnimg.cn/direct/a533ef775f564df0bc8b3608bdc67ac0.png) 使用攻击者访问任意一台主机,应该都无法通的 ![](https://i-blog.csdnimg.cn/direct/68466171a1c64101ad2f2e61314a4274.png) (3)将PC4的MAC地址静态绑定在S1的G0/0/3接口 \[S1\]mac-address static 5489-98FD-042C GigabitEthernet 0/0/3 vlan 1 查看MAC地址 ![](https://i-blog.csdnimg.cn/direct/218d78f6bdba4fc99c5ccd56df750efd.png) #### 三、总结 MAC地址表安全是网络安全管理中的一个关键环节,它涉及到MAC地址表的基本概念、类型、配置命令以及应用场景等多个方面。通过合理配置和管理MAC地址表,可以有效提高网络的安全性和稳定性,保护网络免受未授权访问和其他安全威胁的影响。

相关推荐
捷米特研发一部2 小时前
Modbus TCP转RS485智能网关应用实例:集成工业测温器至云平台的数据采集方案
网络
kimi7042 小时前
HTTP的持续与非持续连接,HTTP报文格式
网络·网络协议·http
知北游天2 小时前
Linux网络:使用UDP实现网络通信(服务端&&客户端)
linux·网络·udp
半桔2 小时前
【网络编程】TCP 粘包处理:手动序列化反序列化与报头封装的完整方案
linux·网络·c++·网络协议·tcp/ip
ZeroNews内网穿透2 小时前
新版发布!“零讯”微信小程序版本更新
运维·服务器·网络·python·安全·微信小程序·小程序
小白银子11 小时前
零基础从头教学Linux(Day 42)
linux·运维·服务器·网络·nginx
火星MARK12 小时前
如何配置 Ingress 的 SSL/TLS 证书?
网络·网络协议·ssl
看好多桂花树12 小时前
Nginx SSL/TLS 配置
网络·nginx·ssl
程序猿费益洲13 小时前
Docker 网络详解:(一)Linux 网络虚拟化技术
linux·网络·docker·容器·云计算
云宏信息14 小时前
赛迪顾问《2025中国虚拟化市场研究报告》解读丨虚拟化市场迈向“多元算力架构”,国产化与AI驱动成关键变量
网络·人工智能·ai·容器·性能优化·架构·云计算