1. Toy模板网首页
  2. > Toy博客

锐捷交换机——端口安全

5月前 作者:你可知这世上再难遇我 分类:Toy博客 阅读(31) 违法举报

这篇具有很好参考价值的文章主要介绍了锐捷交换机——端口安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

应用场景

功能简介

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤  

五、功能验证

 

应用场景

端口安全功能适用于用户希望控制端口下接入用户的IP和MAC必须是管理员指定的合法用户才能使用网络,或者希望使用者能够在固定端口下上网而不能随意移动,变换IP/MAC或者端口号,或控制端口下的用户MAC数,防止MAC地址耗尽攻击(病毒发送持续变化的构造出来的MAC地址,导致交换机短时间内学习了大量无用的MAC地址,8K/16K地址表满掉后无法学习合法用户的MAC,导致通信异常)的场景。

功能简介

端口安全:端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口,你可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口,使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃。

您还可以设定端口安全地址绑定IP+MAC,或者仅绑定IP,用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信。

一、组网需求

要求PC1(IP: 192.168.1.1,MAC: 0021.CCCF.6F70)只能接在交换机的F0/1端口,并且做IP+MAC地址绑定,其他电脑接入该端口将不能通信;

要求F0/2端口只能接入IP地址为192.168.1.2,MAC地址不受限制的PC,其他IP地址的PC都不能从该端口接入。

二、组网拓扑

锐捷交换机开启端口安全,锐捷网络,安全,网络,运维,端口安全

三、配置要点

在F0/1及F0/2端口需要开启switchport port-security功能,并且限制MAC地址绑定的条目为1

四、配置步骤  

核心交换机配置:

1、创建核心设备的IP地址,即用户的网关地址

Ruijie(config)#vlan 10

Ruijie(config)#interface vlan 10

Ruijie(config-if-VLAN 10)#ip address 192.168.1.254 255.255.255.0

2、保存配置

Ruijie(config-if-VLAN 10)#end

Ruijie#wr

接入交换机配置:

1、要求F0/1端口只能接入192.168.1.1且mac地址是0021.CCCF.6F70的电脑

Ruijie>enable 

Ruijie#configure terminal

Ruijie(config)#interface fastEthernet 0/1                                   

Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1   ------>把属于vlan10 ,且mac地址是0021.CCCF.6F70 ,ip地址192.168.1.1的PC绑定在交换机的第一个百兆接口上

Ruijie(config-if-FastEthernet 0/1)#switchport port-security   ------>开启端口安全功能

Ruijie(config-if-FastEthernet 0/1)#exit

2、要求F0/2端口只能接入ip地址是192.168.1.2的电脑,mac地址无要求。即F0/2下的电脑ip地址只能连接IP地址为192.168.1.2的电脑

Ruijie(config)#interfac fastEthernet 0/2

Ruijie(config-if-FastEthernet 0/2)# switchport port-security binding 192.168.1.2  ------>把ip地址是192.168.1.2的终端绑定在交换机的第二个百兆接口

Ruijie(config-if-FastEthernet 0/2)#switchport port-security   ------>开启端口安全功能

3、保存配置

Ruijie(config-if-FastEthernet 0/2)#end

Ruijie#write                   ------>确认配置正确,保存配置

重要说明:

1、交换机端口安全分为IP+MAC绑定,仅IP绑定,仅MAC绑定

交换机端口安全IP+MAC绑定或仅IP绑定是通过如下命令来实现的:

Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding ?

  A.B.C.D     IP address

  H.H.H       48-bit hardware address

  X:X:X:X::X  IPV6 address

1)绑定IP+MAC,可以使用如下命令:

Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 1 192.168.1.1  

2)仅绑定IP,可以使用如下命令:

Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 192.168.1.2 

3)如果交换机仅做MAC绑定,可以使用如下命令:

Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 0021.CCCF.6F70

2、如果设置了IP+MAC绑定或仅IP绑定,交换机还是会动态学习下联用户的MAC地址例如交换机端口上做了如下命令绑定:

Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security

此时,查看配置如下:

Ruijie#show port-security address

Vlan Mac Address     IP Address                               Type       Port     Remaining Age (mins)

---- --------------- ---------------------------------------- ---------- -------- -------------

1     1414.4b19.ecc1 192.168.1.1                              Configured Fa0/1            -

当用户接入后,交换机依然还会动态学习用户的MAC

Ruijie#show port-security address

Vlan Mac Address     IP Address                               Type       Port     Remaining Age (mins)

---- --------------- ---------------------------------------- ---------- -------- -------------

1     1414.4b19.ecc1                                               Dynamic     Fa0/1            -         

1     1414.4b19.ecc1 192.168.1.1                            Configured Fa0/1              -

如果要让IP+MAC绑定或仅IP绑定的的用户生效,必须先要让端口安全学习到用户的MAC地址。例如交换机做如下设置,那么192.168.1.2的用户就无法上网:

interface GigabitEthernet 0/1

 switchport port-security mac-address 1414.4b19.0000 vlan 1

 switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.2

 switchport port-security maximum 1

 switchport port-security

原因是MAC地址最大允许数是1,而且已经绑定了一个1414.4b19.0000 的地址,所以端口安全不能再学习MAC地址了,而端口安全IP+MAC(或IP)绑定生效必须要先学习到端口安全MAC地址,所以192.168.1.2的用户无法被放通。如果要让该用户上网,可以通过多绑定该用户的MAC来实现:

interface GigabitEthernet 0/1

 switchport port-security mac-address 1414.4b19.ecc1 vlan 1

 switchport port-security mac-address 1414.4b19.0000 vlan 1

 switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.2

 switchport port-security maximum 2

 switchport port-security

总结:如果配置了IP或IP+MAC绑定,那么也要同时满足端口安全MAC绑定的条件。

3、交换机如果某些端口设置了端口安全(端口MAC绑定),但是某些端口没有设置端口安全,例如1口设置了端口安全绑定的用户为PC1,其余端口没有设置端口安全。那么PC1插到1号口可以上网,但是插到其他端口是不能上网的。

4、交换机如果某些端口设置了端口安全(端口IP+MAC或IP绑定),但是某些端口没有设置端口安全,例如1口设置了端口安全绑定的用户为PC1,其余端口没有设置端口安全。那么PC1插到1号口可以上网,插到其他端口也可以上网,也就说端口安全MAC地址绑定才是决定设备放通用户的关键因素。

五、功能验证

查看接入交换机绑定的安全表项

锐捷交换机开启端口安全,锐捷网络,安全,网络,运维,端口安全文章来源地址https://www.toymoban.com/news/detail-857676.html

到了这里,关于锐捷交换机——端口安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 配置交换机端口安全

    配置交换机端口安全

    通过本实验可以掌握: 交换机管理地址配置及接口配置。 查看交换机的MAC地址表。 配置静态端口安全、动态端口安全和粘滞端口安全的方法。 配置交换机端口安全的实验拓扑如图所示。 (1)交换机基本配置 【技术要点】 在以太网接口上使用auto-MDIX(自动介质相关接口交

    2024年04月14日
    浏览(43)
  • 交换机端口安全实验

    交换机端口安全实验

    摘要: 本文详细介绍了一个涉及IP配置、802.1X认证和端口隔离的网络实验。该实验旨在演示如何在网络设备上设置这些功能,以提高局域网内的安全性并管理连接。 该实验侧重于配置IP地址,启用端口访问的802.1X认证,创建用于认证的用户,以及实施端口隔离,以防止某些设

    2024年02月10日
    浏览(42)
  • 交换机端口安全设置

    交换机端口安全设置

    第一步,配置交换机端口的最大连接数限制。 SwitchA#conf t SwitchA(config)#int range f0/1-23 SwitchA(config-if-range)#shutdown SwitchA(config-if-range)#switchport mode trunk SwitchA(config-if-range)#switchport port-security maximum 1 SwitchA(config-if-range)#switchport port-security violation shutdown SwitchA(config-if-range)#end 第二步,配

    2024年02月07日
    浏览(41)
  • 交换机端口安全

    交换机端口安全

    首先可以看下思维导图,以便更好的理解接下来的内容。 802.1X认证起源于WLAN协议802.11,最初是为了解决局域网终端的接入认证问题。它为网络提供了一种灵活且强大的认证机制,可以有效地控制终端设备的网络访问。 802.1X认证提供了两种主要的认证方式: 本地认证 本地认

    2024年02月10日
    浏览(36)
  • 华为交换机查看MAC地址和配置交换机端口的安全

    华为交换机查看MAC地址和配置交换机端口的安全

    交换机是基于mac地址表转发数据,并且也可以学到mac地址表,只要PC机在通信的情况下,交换机就可以学到PC机的mac地址,下面测试: 打开ensp拉入两个PC机和一个交换机,用线连接完成后,并且给PC配置IP地址 我们可以先查看一下交换机里面有没有PC机的mac地址 在系统视图下执

    2024年02月04日
    浏览(67)

  • 华为交换机端口安全配置

    采用如下的思路配置端口安全: 1.       配置 VLAN ,实现二层转发功能。 2.       配置端口安全功能,实现学习到的 MAC 地址表项不老化。 操作步骤 1.      在Switch上创建VLAN,并把接口加入VLAN #创建VLAN。 HUAWEI system-view [HUAWEI] sysname Switch [Switch] vlan 10 [Switch-vlan10] quit [

    2024年02月09日
    浏览(41)
  • 【eNSP】交换机的端口安全

    【eNSP】交换机的端口安全

      允许两个pc通过,没有特定指哪个: ①配置pc的地址及子网掩码 ②进入端口,开始配置  port-security enable开启端口安全功能  port-security max-mac-num 2 (2是允许通过的pc的最大量,可改) ps:如果只允许一个pc通过,没有强调是哪个,就是第一个跟交换机通信的(没设置端口安全是它的

    2024年01月16日
    浏览(36)

  • SSH和交换机端口安全概述

            交换机的安全是一个很重要的问题,因为它可能会遭受到一些恶意的攻击,例如MAC泛洪攻击、DHCP欺骗和耗竭攻击、中间人攻击、CDP 攻击和Telnet DoS 攻击等,为了防止交换机被攻击者探测或者控制,必须采取相应的措施来确保交换机的安全性,常见的安全措施包括:配

    2024年04月10日
    浏览(71)
  • 网络交换机端口管理工具

    网络交换机端口管理工具

    如今,企业或组织级网络使用数百个交换机端口作为其 IT 基础架构的一部分来实现网络连接。这使得交换机端口管理成为日常网络管理任务的一部分。传统上,网络管理员必须依靠手动网络交换机端口管理技术来跟踪交换机及其端口连接状态。这种手动任务弊大于利,因为它

    2024年02月05日
    浏览(88)
  • 思科交换机端口动态、静态安全绑定案例

    思科交换机端口动态、静态安全绑定案例

    1、该端口不是聚合端口 2、该端口是access模式 3、配置前要关闭该端口(shutdown) 违规操作:(没有加入端口安全的PC机做一下操作) 1、给没有加入到安全端口的PC进行IP地址配置(增加1次) 2、进行ping操作第一次增加5次,下一次增加4次 查看当前访问过得IP地址信息 Switch(

    2023年04月08日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包