端口隔离、MAC地址表项、MAC地址漂移防止与检测

news2024/12/23 20:17:12

目录

前言

端口隔离

MAC地址表项

端口安全

MAC地址漂移检测


前言

  • 目前网络中以太网技术的应用非常广泛。然而,各种网络攻击的存在(例如针对ARP、DHCP等协议的攻击),不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要。
  • 本节主要介绍常见的以太网交换安全技术:包括端口隔离、端口安全、MAC地址漂移检测

端口隔离

  • 以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
  • 大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源
  • 如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN,但是要求它们在二层不能互通(但允许三层互通)PC1与PC3在任何情况下都不能互通但是VLAN3里的主机可以访问VLAN2里的主机。 那么该如何解决这个问题呢?

 端口隔离技术原理

 

端口隔离配置命令

1、使能端口隔离功能

        缺省情况下,未使能端口隔离功能,如果不指定group-id参数,默认加入的端口隔离组是1

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

2、配置端口隔离模式

        缺省情况下,端口隔离模式为L2,L2端口隔离模式为二层隔离三层互通,all端口隔离模式为二三层都隔离

[Huawei] port-isolate mode { l2 | all }

3、配置端口单向隔离

        am isolate 命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间的单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

配置举例

 Switch配置如下

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2

[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2

如图所示:PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。

  • 双向隔离:同一端口隔离组之间互相隔离不同端口隔离组的接口之间不隔离。 端口隔离只针对同一设备上的端口隔离组成员
  • 单向隔离:实现不同端口隔离组接口之间的隔离

端口隔离配置验证

1、通过display port-isolate group-number查看端口隔离组中的端口

[SW]display port-isolate group 2
    The ports in isolate group 2:
   GigabitEthernet0/0/1     GigabitEthernet0/0/2 

MAC地址表项

 MAC地址表项类型包括:

动态MAC地址表项由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。

静态MAC地址表项由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。

黑洞MAC地址表项由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

MAC地址表项配置

1、配置静态MAC表项

指定的VLAN必须以及创建并且已经加入绑定的端口,指定的MAC地址必须是单播MAC地址,不能是组播或广播地址

[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id

2、配置黑洞MAC表项

当设备收到目的MAC或源MAC为黑洞地址的报文时,会直接丢弃

[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]

 3、配置动态MAC表项老化时间

[Huawei] mac-address aging-time {aging-time}

 禁止MAC地址学习功能

1、关闭基于接口的MAC地址学习功

[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

        缺省情况下,接口的MAC地址学习功能是使能的:

        关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。

        当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。

2、关闭基于VLAN的MAC地址学习功能

[Huawei-vlan2] mac-address learning disable

 缺省情况下,VLAN的MAC地址学习功能是使能的。

当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置

限制MAC地址学习数量

1、配置基于接口限制的MAC地址学习数量
        缺省情况下,不限制MAC地址学习数。
        [Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num

2、配置MAC地址数达到限制后,对报文采取的的动作
        缺省情况下为丢弃
        [Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

3、配置MAC地址达到限制后是否进行警告
        [Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }
        缺省情况下,对超过MAC地址学习数限制的报文进行告警

4、配置基于VLAN限制MAC地址学习数
        [Huawei-vlan2] mac-limit maximum max-num
        缺省情况下,不限制MAC地址学习数

配置验证

执行dispaly mac-limit命令,查看地址学习限制规则是否配置成功

[Switch3]display mac-limit
MAC Limit is enabled
Total MAC Limit rule count : 2

PORT                 VLAN/VSI/SI      SLOT  Maximum  Rate(ms)     Action      Alarm   
----------------------------------------------------------------------------
GE0/0/2              -                  -      100     -          forward     enable  
-                   20                  -      100     -          forward     enable
基于接口的MAC地址学习限制
基于VLANMAC地址学习限制

端口安全

  • 通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
  • 端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

端口安全技术原理

安全MAC地址分为一下几类:

安全MAC地址通常与安全保护结合使用,常见的前前言安全保护的动作

Restrict:丢弃源MAC地址不存在的报文并上报告警。

Protect:只丢弃源MAC地址不存在的报文,不上报告警。

Shutdown:接口状态被置为error-down,并上报告警。

端口安全技术应用

 端口安全配置命令

1、使能端口安全功能

缺省情况下,未使能端口安全功能

[Huawei-GigabitEthernet0/0/1] port-security enable

2、配置端口安全动态MAC地址学习数量限制

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
缺省情况下、接口学习的安全MAC地址数量限制为1

3、手工配置安全静态MAC地址表项

[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id

 4、配置端口安全保护动作

缺省情况下,端口安全保护动作为restrict

[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }

5、使能Sticky MAC功能

缺省情况下,接口未使能Sticky MAC功能。
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky


配置接口Sticky MAC学习限制数量
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1

手动配置一条Sticky-mac表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id

端口安全配置举例:安全动态MAC

Switch1配置值如下

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown

验证配置

  • 执行命令display mac-address security ,查看动态安全MAC表项
[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port                Type        LSP/LSR-ID  
                       VSI/SI                                                                 MAC-Tunnel  
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1           -        -                 GE0/0/3         security    -           
5489-98b1-7b30 1           -        -                 GE0/0/1         security    -           
5489-9815-662b 1           -       -                 GE0/0/2         security    -           
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3 

MAC地址漂移检测

  • 交换机支持MAC地址漂移检测机制,分为以下两种方式:
  • 基于VLAN的MAC地址漂移检测
    • 配置VLAN的MAC地址漂移检测功能可以检测指定VLAN的所有MAC地址是否发生漂移
    • 当MAC地址发生漂移以后、可配置指定的动作,例如告警、阻断接口或阻断MAC地址
  • 全局MAC地址漂移检测
    • 该功能可以检测设备上的所有的MAC地址是否发生了漂移。
    • 若发生漂移,设备会上报告警到网管系统
    • 用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN

MAC地址漂移配置命令

1、配置接口学习MAC地址的优先级

缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。

[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id

2、配置禁止MAC地址漂移时报文的处理动作为丢弃

缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。

[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard

3、配置不允许相同的优先级的接口出现MAC地址漂移

缺省情况下,允许相同优先级的接口发生MAC地址漂移

[Huawei] undo mac-learning priority priority-id allow-flapping

4、配置MAC地址漂移检测功能

缺省情况下,已经配置了为交换机上所有VLAN进行MAC地址漂移监测的功能

[Huawei-vlan2] mac-address flapping detection

5、配置MAC地址漂移检测的白名单

缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。

[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

6、配置发生漂移后接口的处理动作

缺省情况下,没有配置接口MAC地址票以后的处理动作

[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }

7、配置MAC地址漂移检测功能

[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

 MAC地址漂移配置举例

 1、在SWitch与server相连的接口

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3

GE0/0/1上配置MAC地址学习优先级高于其他接口,此优先级默认值为0。

2、在Switch上配置MAC地址漂移检测功能,并配置接口MAC地址漂移后的处理动作。

[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500

配置验证

配置完成后,当Switch的接口GE0/0/1的MAC地址漂移到GE0/0/2后。接口Ge0/0/2关闭

使用displsy mac-address flapping record

Switch2] display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit vlan                                                                 
(D) : error down 
---------------------------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address     Original-Port    Move-Ports   MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36     1    5489-9815-662b  GE0/0/1         GE0/0/2(D)   83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/531527.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【案例教程】山洪径流过程模拟及洪水危险性评价技术

GIS水文分析&#xff08;ArcHydro、Spatial Anlysist等模块&#xff09;是流域水文模拟建模的重要工具&#xff0c;能够自动提取及计算流域边界、河网水系、流向、汇流时间和其它流域特征参数。美国陆军工程兵团开发的开源、免费Hec-RAS软件具有强大的空间数据分析与整合功能、…

每日学术速递5.13

CV - 计算机视觉 | ML - 机器学习 | RL - 强化学习 | NLP 自然语言处理 Subjects: cs.CV 1.VideoChat: Chat-Centric Video Understanding 标题&#xff1a;VideoChat&#xff1a;以聊天为中心的视频理解 作者&#xff1a;KunChang Li, Yinan He, Yi Wang, Yizhuo Li, Wen…

计算机网络基础知识(五)——什么是TCPUDP协议?图文并茂的方式对两大传输层协议进行从头到尾的讲解

文章目录 01 | &#x1f4d5; 什么是 T C P &#xff1f; \color{red}{什么是TCP&#xff1f;} 什么是TCP&#xff1f;&#x1f4d5;特点三次握手 && 四次挥手超时重传滑动窗口 02 | &#x1f4d9; 什么是 U D P &#xff1f; \color{orange}{什么是UDP&#xff1f;} 什…

1. 链表

b站懒猫数据结构课程笔记&#xff1a;https://www.bilibili.com/read/cv8013121?spm_id_from333.999.0.0 一、链表的概念 单链表&#xff1a;线性表的链接存储结构 单链表存储特点&#xff1a; 逻辑次序和物理次序不一定相同 元素之间的逻辑关系用指针表示 举例&#xff1a…

PASCAL VOC数据集

一、前言 之前寒假好像就学了&#xff0c;但是没有记笔记&#xff0c;现在看来还是得记笔记&#xff0c;都忘得差不多了啊。 二、数据集的介绍 2.1数据集背景 分类类别 2.2数据集文件结构&#xff1a; 2.3文件夹 2.3.1Annotations文件夹 对于标注文件Annotations&#xff1a;里…

基于SpringBoot框架的程序开发步骤

SpringBoot简介 1. 入门案例问题导入1.1 入门案例开发步骤1.2 基于SpringBoot官网创建项目1.3 SpringBoot项目快速启动 2. SpringBoot概述问题导入2.1 起步依赖2.2 辅助功能 1. 入门案例 问题导入 SpringMVC的HelloWord程序怎么写&#xff1f; SpringBoot是由Pivotal团队提供…

死锁、生产者和消费者问题

目录 生产者和消费者问题 死锁的概念 内存的基础知识 内存管理的概念 覆盖与交换 介绍一下PCB 连续分配管理方式​编辑 生产者和消费者问题 死锁的概念 什么是死锁 进程死锁、饥饿、死循环的区别 死锁产生的必要条件 什么时候会发生死锁 死锁的处理策略 内存的基础知识 内存…

微三云润秋带你解析商城分销系统

管理大师德鲁克曾说过&#xff1a;当今企业间的竞争&#xff0c;不是产品之间的竞争&#xff0c;而是商业模式之间的竞争。创业不只是项目选择重要&#xff0c;好的商业模式同样重要&#xff0c;如果没有好的商业模式&#xff0c;企业将会被淘汰。 今天我们要聊的这个商城就有点…

怎样设置CRM目标?有什么作用?

实施CRM系统可以帮助企业提高客户保留率&#xff0c;增加收入&#xff0c;并推动业绩增长。然而&#xff0c;在实施CRM系统之前&#xff0c;必须设定明确的目标&#xff0c;与企业的整体战略保持一致。在这篇文章中&#xff0c;我们来讨论实施CRM目标是什么&#xff0c;如何设定…

基于AD9172/AD9176的4 通道12.6GSPS 采样率16 位DA 播放FMC JESD204B 接口子卡模块

板卡概述 FMC_XM131 是一款4 通道12.6GSPS 采样率16 位DA 播放FMC子卡模块&#xff0c;该板卡为FMC标准&#xff0c;符合VITA57.4 规范&#xff0c;可以作为一个理想的IO 模块耦合至FPGA 前端&#xff0c;16 通道的JESD204B 接口通过FMC连接器连接至FPGA 的高速串行端…

【Python TurboGears】零基础也能轻松掌握的学习路线与参考资料

Python TurboGears是一款开源的web框架&#xff0c;它篮了多种Python库和工具&#xff0c;可以更容易地开发和维护web应用程序。TurboGears具有优秀的文档和活跃的社区支持&#xff0c;是学习web开发的理想选择之一。以下是Python TurboGears学习路线&#xff0c;参考资料和优秀…

一句话简短解析 jsjiami.v6

jsjiami.v6 是一种广泛使用的 JavaScript 代码混淆工具&#xff0c;它提供了多种代码混淆技术&#xff0c;包括变量名重命名、函数名重构、字符串替换、代码结构混淆等&#xff0c;可以将代码转换为难以理解和阅读的形式。在本文中&#xff0c;我们将对 jsjiami.v6 进行分析&am…

【FMC137】基于 VITA57.4 标准的4 路2GSPS/2.6GSPS/3GSPS 14 位AD 采集子卡模块--AD9208得多通道中文资料

板卡概述 FMC137 是一款基于VITA57.4 标准规范的JESD204B 接口FMC 子卡模块&#xff0c; 该模块可以实现4 路14-bit 、2GSPS/2.6GSPS/3GSPSADC 采集功能。该板卡ADC 器件采用ADI公司的AD9208 芯片&#xff0c;&#xff0c;与ADI 公司的AD9689 可以实现PIN 脚兼容。该ADC 与FPGA…

Agisoft Metashape 基于影像的外部点云着色

Agisoft Metashape 基于影像的外部点云着色 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 Agisoft Metashape 基于影像的外…

JavaScript全解析——this指向

本系列内容为JS全解析&#xff0c;为千锋教育资深前端老师独家创作 致力于为大家讲解清晰JavaScript相关知识点&#xff0c;含有丰富的代码案例及讲解。如果感觉对大家有帮助的话&#xff0c;可以【点个关注】持续追更~ this指向&#xff08;掌握&#xff09; this 是一个关…

Python系列之判断和循环

感谢点赞和关注 &#xff0c;每天进步一点点&#xff01;加油&#xff01; 目录 一、判断语句 1.1 Shell里的判断语句格式 1.2 Python里的判断语句格式 二、循环语句 2.1 Python while循环 2.1.1 while 循环的基本格式 2.1.2 while 循环使用else语句 2.2 Python for 循…

每日学术速递5.16

CV - 计算机视觉 | ML - 机器学习 | RL - 强化学习 | NLP 自然语言处理 Subjects: cs.CV 1.Locally Attentional SDF Diffusion for Controllable 3D Shape Generation 标题&#xff1a;用于可控 3D 形状生成的局部注意 SDF 扩散 作者&#xff1a;Xin-Yang Zheng, Hao Pa…

全能视频转换:Tipard Video Converter Ultimate Mac

Tipard Video Converter Ultimate 是一款 Mac 平台上的视频转换工具&#xff0c;它可以帮助用户将各种视频文件转换为不同的格式&#xff0c;以适应不同的设备和播放器。使用 Tipard Video Converter Ultimate&#xff0c;用户可以轻松地将视频转换为 MP4、AVI、WMV、FLV、MKV、…

美股股指期货在哪看?如何选择美股股指期货平台?

美股股指期货的交易方式与股票交易的方式类似。投资者可以通过经纪人或美股股指期货平台进行交易&#xff0c;也可以到股票交易所进行交易。需要注意的是&#xff0c;并非所有的美股股指期货平台都值得信赖。投资者在交易前需要筛选出靠谱的美股股指期货平台。 美股股指期货平台…

12金币问题的解决

title: 12金币 date: 2023-05-16 11:42:26 tags: 数据结构与算法 git地址&#xff1a;https://github.com/944613709/HIT-Data-Structures-and-Algorithms 12金币 **问题&#xff1a;**给出12个硬币&#xff0c;其中一个是假硬币&#xff0c;用一个天平来确定三种重量的假币&a…