一、服务器拒绝服务

DOS共计:拒绝攻击

DDOS：分布式拒绝攻击

二、

1.解决接入层非法用户接入方案：在交换机上生成安全的mac地址表

满足安全表项转发，不满足丢掉

2.解决汇聚层非法用户接入方案：在交换机上配置接口的最大mac学习数量

对于超出安全mac地址

restrict	丢弃源mac地址不存在的报文并上报告警
protect	只丢弃源mac地址不存在的报文，不上报告警
shutdown	直接关闭接口，接口状态被置为error-down，并上报告警

3.安全mac地址表

端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、静态MAC和sticky MAC）阻止非方法用户通过本接口和交换机通信，从而增强设备安全性。

安全的动态mac地址
安全静态mac地址
sticky mac地址（黏贴mac）

类型	定义	特点
安全的动态mac地址	开启使能端口安全功能，未开启使能sticky mac功能时转换的mac地址	设备重启后表项会丢失
安全静态mac地址	开启使能端口安全功能时手工配置的静态mac地址	不会被老化
sticky mac地址（黏贴mac）	开启使能端口安全又同时开启使能sticky mac功能后转换得到的mac地址	不会被老化

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为又非法用户攻击，就会根据配置的动作接口做保护处理。缺省情况下，默认保护动作时restrict。

三、拓扑实验

要求及配置

1.要求sw1的e0/0/1学习到的mac为安全动态mac

[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]q
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/2]q
[SW1]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 20
[SW1-Ethernet0/0/3]q
[SW1]int e0/0/4
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-Ethernet0/0/4]q
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
//
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable  //这时变成动态mac

display mac-address security //查看mac安全的mac
display mac-address

2.要求sw1的e0/0/2学习到的mac为安全静态mac

[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable  //这时变成动态mac
[SW1-Ethernet0/0/2]port-security mac-address sticky  //这时变成黏贴mac
[SW1-Ethernet0/0/2]port-security mac-address sticky 5489-98A2-670F vlan 10  //这时变成静态mac

//3.要求sw1的e0/0/2学习到的mac为安全黏贴mac

[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable  //这时变成动态mac
[SW1-Ethernet0/0/2]port-security mac-address sticky   //这时变成黏贴mac

3.防止汇聚层非法用户的接入---SW2--g0/0/1设置最大用户数量4

[SW2]vlan batch 10 20
[SW2]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
//
[SW2]int g0/0/1
[SW2-GigabitEthernet0/0/1]port-security enable  //这时变成动态mac
[SW2-GigabitEthernet0/0/1]port-security mac-address sticky  //这时变成黏贴mac
[SW2-GigabitEthernet0/0/1]port-security max-mac-num 4  //设置最大接收用户数量
[SW2-GigabitEthernet0/0/1]port-security protect-action shutdown  //限制动作为shutdown

4.测试

PC1-ping 192.168.1.8
PC2-ping 192.168.1.8 -t //一直ping
PC5-ping 192.168.1.8 -t //恶意主机Ping

路由与交换-华为eNSP-端口安全问题相关推荐

路由与交换实验——eNSP实验
实验006 eNSP实验一. 实验目的二. 实验内容三. 实验环境四. 实验步骤一. 实验目的 107.109教室设计有20个计算机网口,可以满足20台计算机上网需求. 为107 109 教 ...
三层交换机能传递路由吗?_华为ensp三层交换机VLAN配置静态路由互通
华为三层交换机静态路由与VLAN配置目的:学会静态路由的原理与三层交换机vlan划分配置图中PC1划分在VLAN2下与PC2划分在VLAN4下互通,配置如下: sys --进入系统命令 [huaw ...
路由与交换-华为eNSP-单区域ospf综合配置
一.要求 1.按照要求完成IP地址的配置 2.总部网络运行OSPF协议,进程号为10:分支运行RIP协议,进程号为100 3.按照要求完成OSPF协议配置 (1)按照拓扑标识进行区域配置,并将设备 ...
路由与交换-华为eNSP-交换机上配置DHCP技术
一.要求 vlanif 10 192.168.1.254---接口地址池 dns:8.8.8.8 租期:1天12小时保留地址:1.100-1.200 绑定地址:1.50--PC5 vlanif 20 ...
玩转华为ENSP模拟器系列 | 配置基于iBGP的PE和接入设备间路由交换
素材来源:华为路由器配置指南一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全目 ...
视频教程-新版华为HCIA数通(路由与交换)课程-华为认证
新版华为HCIA数通(路由与交换)课程新任帮主,双CCIE(CCIE R&S,CCIE Security):2011年前在国内知名培训机构担任CCIE R&S讲师:因一直秉持知行统一 ...
链路捆绑与端口聚合原理与实验结合理解小白看了都秒懂（华为ensp模拟器）不懂不可能的
链路捆绑与端口聚合链路捆绑与端口聚合原理与介绍链路聚合组和链路聚合接口: 成员接口和成员链路: 活动接口和非活动接口.活动链路和非活动链路: 链路接口最大链路活动值: 链路接口最小链路活动值: 链 ...
计算机网络实验（华为eNSP模拟器）——第四章配置静态路由、动态路由
目录前言一.关闭泛洪信息二.静态路由命令例题三.动态路由 (一)RIP协议 RIP命令例题 (二)OSPF协议 OSPF命令例题(单区域) 例题(多区域) 四.查看全局路由表结语前 ...
计算机网络实验（华为eNSP模拟器）——第二章 VRP通用路由平台介绍
目录前言一.视图 (一)用户视图 (二)系统视图 (三)接口视图二.返回视图 (一)返回上一级视图 (二)返回用户视图三.删除和保存 (一)保存 (二)删除四.查看 (一)查看设备信息 (二 ...

路由与交换-华为eNSP-端口安全问题