1.埠安全簡介
埠安全(portsecurity)通過將介面學習到的動態mac位址轉換為安全mac位址(包括安全動態mac、安全靜態mac和stickymac),阻止非法使用者通過本介面和交換機通訊,從而增強裝置的安全性。
2埠安全原理描述
1.安全mac位址的分類
裝置重啟後表項會丟失,需要重新學習。
預設情況下不會被老化,只有在配置安全mac的老化時間後才可以被老化。
不會被老化,手動儲存配置後重啟裝置不會丟失。
不會被老化,手動儲存配置後重啟裝置不會丟失。
5.超過安全mac位址限制數後的動作
介面上安全mac位址數達到限制後,如果收到源mac位址不存在的報文,無論目的mac位址是否存在,交換機即認為有非法使用者攻擊,就會根據配置的動作對介面做保護處理。預設情況下,保護動作是丟棄該報文並上報告警。
restrict:
protect:
只丟棄源mac位址不存在的報文,不上報告警。
shutdown:
介面狀態被置為error-down,並上報告警。
預設情況下,介面關閉後不會自動恢復,只能由網路管理人員在介面檢視下使用restart命令重啟介面進行恢復。
3埠安全應用場景
埠安全經常使用在以下幾種場景:
•應用在接入層裝置,通過配置埠安全可以防止仿冒使用者從其他埠攻擊。
•應用在匯聚層裝置,通過配置埠安全可以控制接入使用者的數量。
接入層使用場景:
使用者pc1和pc3通過ipphone接入switcha裝置,使用者pc2直接接入裝置switcha,為了保證接入裝置安全性,防止非法使用者攻擊,可以在接入裝置switcha的介面上配置埠安全功能。
•如果接入使用者變動比較頻繁,可以通過埠安全把動態mac位址轉換為安全動態mac位址。這樣可以在使用者變動時,及時清除繫結的mac位址表項。
•如果接入使用者變動較少,可以通過埠安全把動態mac位址轉換為stickymac位址。這樣在儲存配置重啟後,繫結的mac位址表項不會丟失。
•如果接入使用者變動較少,且數量較少的情況下,可以通過配置為安全靜態mac位址,實現mac位址表項的繫結。
匯聚層使用場景
樹狀組網中,多個使用者通過switcha和匯聚層裝置switch進行通訊。為了保證匯聚裝置的安全性,控制接入使用者的數量,可以在匯聚裝置配置埠安全功能,同時指定安全mac位址的限制數。
5.交換機的埠安全
交換機依賴mac位址表**資料幀,如果mac位址不存在,則交換機將幀**到交換機上的每乙個埠(泛洪),然而mac位址表的大小是有限的,mac泛洪攻擊利用這一限制用虛假源mac位址轟炸交換機,直到交換機mac位址表變滿。交換機隨後進入稱為 「失效開放」 (fail-open)的模式,開始像集線器一樣工作,將資料報廣播到網路上的所有機器。
因此,攻擊者可看到傳送到無mac位址表條目的另一台主機的所有幀。要防止mac泛洪攻擊,可以配置埠安全特性,限制埠上所允許的有效mac位址的數量,並定義攻擊發生時埠的動作:關閉、保護、限制。
end華為認證思維導圖(超細);
華為認證必備知識文件(pdf);
網工必備知識文件合集;
網工必備工具包;
網工必備實驗包;
一分鐘sed入門(一分鐘系列)
1.簡介 sed是一種行編輯器,它一次處理一行內容。2.sed呼叫方式 sed options command file s sed options f scriptfile file s 第一種直接在命令列中執行,第二種把命令寫到了指令碼中,二者無本質區別。示例 1 列印hello.txt的內容 ...
一分鐘了解索引技巧
花1分鐘時間,了解聚集索引,非聚集索引,聯合索引,索引覆蓋。舉例,業務場景,使用者表,表結構為 t user uid primary key,login name unique,passwd,login time,age,聚集索引 clustered index 聚集索引決定資料在磁碟上的物理排序,...
一分鐘了解負載均衡
什麼是負載均衡 負載均衡 load balance 是分布式系統架構設計中必須考慮的因素之一,它通常是指,將請求 資料 均勻 分攤到多個操作單元上執行,負載均衡的關鍵在於 均勻 常見的負載均衡方案 常見網際網路分布式架構如上,分為客戶端層 反向 nginx層 站點層 服務層 資料層。可以看到,每乙個...