路由与交换-华为eNSP-端口安全问题
一、服务器拒绝服务
DOS共计:拒绝攻击
DDOS:分布式拒绝攻击
二、
1.解决接入层非法用户接入方案:在交换机上生成安全的mac地址表
- 满足安全表项转发,不满足丢掉
2.解决汇聚层非法用户接入方案:在交换机上配置接口的最大mac学习数量
- 对于超出安全mac地址
restrict | 丢弃源mac地址不存在的报文并上报告警 |
protect | 只丢弃源mac地址不存在的报文,不上报告警 |
shutdown | 直接关闭接口,接口状态被置为error-down,并上报告警 |
3.安全mac地址表
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、静态MAC和sticky MAC)阻止非方法用户通过本接口和交换机通信,从而增强设备安全性。
- 安全的动态mac地址
- 安全静态mac地址
- sticky mac地址(黏贴mac)
类型 | 定义 | 特点 |
安全的动态mac地址 | 开启使能端口安全功能,未开启使能sticky mac功能时转换的mac地址 | 设备重启后表项会丢失 |
安全静态mac地址 | 开启使能端口安全功能时手工配置的静态mac地址 | 不会被老化 |
sticky mac地址(黏贴mac) | 开启使能端口安全又同时开启使能sticky mac功能后转换得到的mac地址 | 不会被老化 |
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为又非法用户攻击,就会根据配置的动作接口做保护处理。缺省情况下,默认保护动作时restrict。
三、拓扑实验
要求及配置
1.要求sw1的e0/0/1学习到的mac为安全动态mac
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]q
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/2]q
[SW1]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 20
[SW1-Ethernet0/0/3]q
[SW1]int e0/0/4
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-Ethernet0/0/4]q
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
//
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable //这时变成动态mac
display mac-address security //查看mac安全的mac
display mac-address
2.要求sw1的e0/0/2学习到的mac为安全静态mac
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable //这时变成动态mac
[SW1-Ethernet0/0/2]port-security mac-address sticky //这时变成黏贴mac
[SW1-Ethernet0/0/2]port-security mac-address sticky 5489-98A2-670F vlan 10 //这时变成静态mac
//3.要求sw1的e0/0/2学习到的mac为安全黏贴mac
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port-security enable //这时变成动态mac
[SW1-Ethernet0/0/2]port-security mac-address sticky //这时变成黏贴mac
3.防止汇聚层非法用户的接入---SW2--g0/0/1设置最大用户数量4
[SW2]vlan batch 10 20
[SW2]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
//
[SW2]int g0/0/1
[SW2-GigabitEthernet0/0/1]port-security enable //这时变成动态mac
[SW2-GigabitEthernet0/0/1]port-security mac-address sticky //这时变成黏贴mac
[SW2-GigabitEthernet0/0/1]port-security max-mac-num 4 //设置最大接收用户数量
[SW2-GigabitEthernet0/0/1]port-security protect-action shutdown //限制动作为shutdown
4.测试
PC1-ping 192.168.1.8
PC2-ping 192.168.1.8 -t //一直ping
PC5-ping 192.168.1.8 -t //恶意主机Ping
路由与交换-华为eNSP-端口安全问题相关推荐
- 路由与交换实验——eNSP实验
实验006 eNSP实验 一. 实验目的 二. 实验内容 三. 实验环境 四. 实验步骤 一. 实验目的 107.109教室设计有20个计算机网口,可以满足20台计算机上网需求. 为107 109 教 ...
- 三层交换机能传递路由吗?_华为ensp三层交换机VLAN配置静态路由互通
华为三层交换机静态路由与VLAN配置 目的:学会静态路由的原理与三层交换机vlan划分配置 图中PC1划分在VLAN2下与PC2划分在VLAN4下互通,配置如下: sys --进入系统命令 [huaw ...
- 路由与交换-华为eNSP-单区域ospf综合配置
一.要求 1.按照要求完成IP地址的配置 2.总部网络运行OSPF协议,进程号为10:分支运行RIP协议,进程号为100 3.按照要求完成OSPF协议配置 (1)按照拓扑标识进行区域配置,并将设备 ...
- 路由与交换-华为eNSP-交换机上配置DHCP技术
一.要求 vlanif 10 192.168.1.254---接口地址池 dns:8.8.8.8 租期:1天12小时 保留地址:1.100-1.200 绑定地址:1.50--PC5 vlanif 20 ...
- 玩转华为ENSP模拟器系列 | 配置基于iBGP的PE和接入设备间路由交换
素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 目 ...
- 视频教程-新版华为HCIA数通(路由与交换)课程-华为认证
新版华为HCIA数通(路由与交换)课程 新任帮主,双CCIE(CCIE R&S,CCIE Security):2011年前在国内知名培训机构担任CCIE R&S讲师:因一直秉持知行统一 ...
- 链路捆绑与端口聚合原理与实验结合理解小白看了都秒懂(华为ensp模拟器)不懂不可能的
链路捆绑与端口聚合 链路捆绑与端口聚合原理与介绍 链路聚合组和链路聚合接口: 成员接口和成员链路: 活动接口和非活动接口.活动链路和非活动链路: 链路接口最大链路活动值: 链路接口最小链路活动值: 链 ...
- 计算机网络实验(华为eNSP模拟器)——第四章 配置静态路由、动态路由
目录 前言 一.关闭泛洪信息 二.静态路由 命令 例题 三.动态路由 (一)RIP协议 RIP命令 例题 (二)OSPF协议 OSPF命令 例题(单区域) 例题(多区域) 四.查看全局路由表 结语 前 ...
- 计算机网络实验(华为eNSP模拟器)——第二章 VRP通用路由平台介绍
目录 前言 一.视图 (一)用户视图 (二)系统视图 (三)接口视图 二.返回视图 (一)返回上一级视图 (二)返回用户视图 三.删除和保存 (一)保存 (二)删除 四.查看 (一)查看设备信息 (二 ...
最新文章
- 优秀博士生与普通博士生差距能有多大?
- C语言获取数组越界,除以零等异常
- ACM入门之【离散化】
- 适配Win11!Edge重磅更新来袭
- 讲100个科学道理,不如做这些有趣的理科实验!
- ps -ef | grep java
- ESFramework介绍之(28)―― Udp组件
- LeetCode:208. 实现 Trie (前缀树)
- CDC相关知识点总结
- endnote 参考文献加序号_EndNote插入文献序号排序混乱怎么破 | 科研动力
- Kindle Paperwhite3入手20天感受
- MacOS 制作 Linux U盘启动盘
- hdu5750Dertouzos
- 美通企业日报 | 北京上海上榜全球最佳留学城市40强;华大电子安全芯片突破150亿颗...
- ABAP 关于 delete adjacent duplicates from的小心得
- 二、Linux文件操作命令
- 【轻博客观察之二】十问Tumblr
- Shiro学习笔记_02:shiro的认证+shiro的授权
- P4593 [TJOI2018]教科书般的亵渎(拉格朗日插值 + k幂次之和)
- 欧盟吸纳52名专家入AI咨询委员会 将起草AI伦理指南 |标贝科技