电子商务 网站设计,莆田做网站公司电话,网站建设服务器,深圳网站备案点✍作者#xff1a;柒烨带你飞 #x1f4aa;格言#xff1a;生活的情况越艰难#xff0c;我越感到自己更坚强#xff1b;我这个人走得很慢#xff0c;但我从不后退。 #x1f4dc;系列专栏#xff1a;网络安全从菜鸟到飞鸟的逆袭 目录 一#xff0c;端口镜像二#xf…✍作者柒烨带你飞 格言生活的情况越艰难我越感到自己更坚强我这个人走得很慢但我从不后退。 系列专栏网络安全从菜鸟到飞鸟的逆袭 目录 一端口镜像二端口安全1端口安全原理描述安全MAC地址的分类安全MAC地址的老化端口安全的保护动作 2配置端口安全配置静态MAC地址飘移检测功能 一端口镜像 概述 端口镜像(port Mirroring)功能是通过在交换机或路由器上将一个或多个源端口的数据流量转发到某一个指定端口(观察端口)来实现对网络的监听在不严重影响源端口正常吞吐流量的情况下可以通过镜像端口对网络的流量进行监控分析。镜像是指将经过指定端口(源端口或者镜像端口)的报文复制到另一个指定端口目的端口或观察端口 目的 主要是为方便一个或客个网络接口的流量进行分析可以通过配置交换机或路由器来把一个或多个(VLAN)端口的数据转发到某一个端口即端口镜像来实现对网络的监听 功能 将被监控流量镜像到监控端口以便对被监控流量进行故障定位、流量分析、流量备份等监控端口一般直接与监控主机等相连 端口 镜像端口是指被监控的端口镜像端口收发的报文将复制一份到观察端口。观察端口是指连接监控设备的端口用于将镜像端口复制过来的报文发送给监控设备。(不能用于数据通信不用配置ip地址) 端口的方向 入方向将镜像端口接受的报文复制到观察端口上出方向将镜像端口发出的报文复制到观察端口上双向将镜像端口发出和接受的报文都复制到观察端口上 端口镜像应用场景 本地端口镜像 在同一台交换机或路由器上将一些接口的流量镜像到另外一个接口上 远程端口镜像 将交换机或路由器一些接口的流量镜像到另一台交换机的某一个接口上
//指定观察端口
[Huawei]observe-port interface g0/0/2
//指定镜像端口
[Huawei]int g0/0/0
[Huawei-GabitEthernet0/0/0]mirror to observe-port both二端口安全
定义端口安全Port Security通过将接口学习到的动态MAC地址转换为安全MAC 址包括安全动态MAC和Sticky MAC阻止除安全MAC和静态MAC之外的主机通过接口和设备通信从而增强设备的安全性。
1端口安全原理描述
安全MAC地址的分类
类型含义特点场景安全动态MAC地址接口启用端口安全后学习到的MAC地址都转换为安全动态的MAC地址默认学习到的没有老化事件设备重启后需要重新学习交换机接口没有启用端口命令学习到的地址默认时有老化时间的设备重启或接口down之后表项会丢失需要重新学习。只有在设置老化时间后才会被老化缺省情况下不会被老化。可以限制地址的数量。可以设置接口的保护动作丢弃报文、告警上报、或者关闭接口。设备接入的用户变动比较频繁可以在设备的用户侧接口配置安全动态MAC地址功能。这样保证安全的同时也可以通过老化及时清除绑定的MAC地址表项。Sticky MAC地址接口启用端口安全后并配置sticky特性可以实现自动绑定MAC地址。重启设备或接口down之后表项不会丢失。不会被老化。可以限制地址的数量。可以设置接口的保护动作丢弃报文、告警上报、或者关闭接口。设备接入的用户变动较少可以在设备的用户侧接口配置Sticky MAC地址功能。这样保证安全的同时绑定的MAC地址表项不会丢失。安全静态MAC接口启用端口安全后再手动绑定MAC地址。重启设备或接口down之后表项不会丢失。不会被老化。设备接入的用户变动较少且数量较少可以在设备的用户侧接口配置安全静态MAC地址功能手工实现MAC地址表项的绑定。 在网络的正常情况下连接主机的接口启用端口安全并配置Sticky特性再结合端口上最大的MAC地址的活跃数量来阻止非法主机连接本机口和交换机通信一般情况下交换机连接主机的端口只会有一个MAC地址 安全MAC地址的老化
安全MAC地址的老化 只有安全动态MAC地址在设置老化时间后才会被老化。 绝对时间老化如绝对老化时间为5分钟系统每隔5分钟检测一次是否存在这个MAC的流量。若没有流量则立即将这个安全动态MAC地址老化。 相对时间老化如相对老化时间为5分钟系统每隔1分钟检测一次是否存在这个MAC的流量。若没有流量则经过5分钟后将这个安全动态MAC地址老化。 强制时间老化如强制老化时间为5分钟系统每隔1分钟计算一次每个MAC的存在时间。若大于等于5分钟则立即将这个安全动态MAC地址老化。
端口安全的保护动作
接口启用端口安全功能后如果收到报文的源MAC地址在MAC地址表项中不存在无论报文的目的MAC地址是否存在均视为非法用户攻击并实施对应安全动作。
动作说明restrict丢弃非法报文并上报告警。推荐使用restrict动作。protect只丢弃非法报文不上报告警。error-down丢弃非法报文并关闭接口即接口状态被置为error-down并上报告警。默认情况下接口关闭后不会自动恢复只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。如果用户希望被关闭的接口可以自动恢复则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause portsec-reachedlimit interval _interval-value_命令使能接口状态自动恢复为Up的功能并设置接口自动恢复为Up的延时时间使被关闭的接口经过延时时间后能够自动恢复。
默认端口安全的配置
2配置端口安全
1. 配置安全动态MAC地址功能
sys
interface g0/0/0 //进入对应接口
portswitch //将接口从三层模式转换到二层//启用端口安全功能配置mac学习的数量限制
port-security enable [maximum max-number]// 可选配置端口安全的保护动作。
port-security protect-action { protect | restrict | error-down }//可选配置安全动态MAC地址的老化时间。
port-security aging-time [time [ absolute| inactivity ]]//(可选删除安全动态MAC地址表项。
undo mac-address security { [ interface-type interface-number | interface-name ] | [ vlan vlanId ] } 2. 配置Sticky MAC地址功能
sys
interface g0/0/0
portswitch //将接口从三层模式转换到二层
//启用端口安全功能配置mac学习的数量限制
port-security enable [maximum max-number]//开启Sticky功能
port-security mac-address sticky//可选手工增加一条Sticky MAC地址表项配置的是连接到端口的设备如计算机网卡、IP 电话等终端设备的 MAC 地址。
port-security mac-address sticky [mac-address] vlan [vlan-id]//可选删除Sticky MAC地址表项。
undo mac-address sticky { [ portType portNum | portName_ ] | [ vlan vlanId_ ] } // 可选配置端口安全的保护动作。
port-security protect-action { protect | restrict | error-down }3. 配置安全静态MAC地址静态的比较简单就几条命令
sys
interface g0/0/0
portswitch
port-security enable [ maximum max-number_ ]
//手工配置一条安全静态mac地址配置的是连接到端口的设备如计算机网卡、IP 电话等终端设备的 MAC 地址。
port-security mac-address [mac-address] vlan [vlan-id]
//可选删除安全静态MAC地址表项。
undo mac-address sec-config { [ portType portNum | portName ] | [ vlan vlanId ] } ------------------------------------------------------------------------------
//命令查看端口安全信息。
display port-security [ interface { interface-type interface-number | interface-name } ]
//查看端口安全相关告警。
display trapbuffer
配置静态MAC地址飘移检测功能
假设设备B通过命令配置一条静态MAC地址用于接入某个用户当这个用户把线从设备的B接口拔插到设备的A接口时A接口将会收到源MAC地址匹配B接口的静态MAC地址表项的报文。这个报文将会直接被丢弃这个用户也会一直无法接入。
为了能够使得设备在检测到静态MAC地址漂移时上报告警提示网络管理人员去识别并修复接入问题可以在设备上启用静态MAC地址漂移检测功能并且在A接口启用端口安全功能。这样A接口收到静态MAC地址发生漂移的报文时将实施端口安全的保护动作例如上报告警。
1.启用静态MAC地址漂移检测功能。
sys
port-security static-flapping protect博主的其他系列专栏
1 环境配置集合2 C语言小实例项目3 HTML入门 实战小案例 创作不易如果觉得文章不错或能帮助到你学习可以点赞收藏评论关注哦留下你的看法和建议 我们下期见✍️
