News
发布日期:2022-04-04 浏览次数:2064 来源:崔志鹏
园区网安全-端口安全配置实例与演示-HCIP Datacom认证考试学习
官方微信同电话:17316362402,联系WOLF-LAB(沃尔夫)实验室获取免费HCIP培训学习资料视频
端口安全的作用:
、限制端口学习的mac地址数量,防止mac地址泛洪攻击;
、只允许特定的SMAC地址的数据帧进行通信,防止SMAC地址欺骗攻击。
正常境况下交换机SW1地址如下
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
-------------------------------------------------------------------------------
5489-986c-083d 1 - - GE0/0/5 dynamic 0/-
5489-98cc-1294 1 - - GE0/0/2 dynamic 0/-
-------------------------------------------------------------------------------
@端口安全的工作原理:
、一旦交换机的某一个端口开启端口安全,那么该端口默认只能学习到一个mac地址;
、开启端口安全的接口会将之前学习到的动态mac表象全部删除,以后学习到的mac地址将转换成安全动态的mac地址。
安全MAC地址的分类:
类型定义特点安全动态MAC地址
设备重启后表项会丢失,需要重新学习。 安全静态MAC地址 | 不会被老化,手动保存配置后设备重启设备不会丢失。 |
地址 | 不会被老化,手动保存配置后重启设备不会丢失。 |
安全动态的mac地址:
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
port-security max-mac-num //什么是安全动态的mac地址?
、默认不老化,除非手动配置老化时间;
、设备重启或者端口翻动,表象会被删除。
隐患:假设宿舍A的同学将hub重启了,宿舍B的PC3趁着PC1不在,跟PC2一起来上网,此时PC1回到所设,PC1就上不去了。
就用安全静态的mac地址
安全静态的mac地址:
、安全静态的mac地址表象,需要手动去配置,不让自动学了;
、设备重启或者端口翻动,表象不会被删除;
、静态绑定的配置可以通过dis cur看到,保存在vrpcfg.zip;
、华为模拟器不支持
port-security enable
port-security mac-address PC1
缺点:管理员配置量大
sticky mac12MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
34interface GigabitEthernet0/0/1
port-security max-mac-num 2
port-security mac-address sticky 5489-9839-0445 vlan 1
那么刚才配置的绑定信息保存在哪?
设备启动会自动加载
违反端口安全的处理方式:
丢弃数据包,不报警
丢弃数据包,报警,默认方式
直接shutdown
<span style="font-size:10.5pt;font-family:"">怎样恢复:华为模拟器只支持手动 undo shut,真机可以设置自动恢复。
联系WOLF-LAB(沃尔夫)实验室获取免费学习资料视频
官方微信同电话:17316362402
官方QQ:2569790740
http://www.wolf-lab.com/