华为认证网络工程师学习笔记——以太网交换安全

这篇具有很好参考价值的文章主要介绍了华为认证网络工程师学习笔记——以太网交换安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

常见的以太网交换安全技术,包括端口隔离、端口安全、MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等。

目录

1、端口隔离

2、MAC地址表安全

3、端口安全

4、MAC地址漂移防止与检测

5、MACsec

6、交换机流量控制——风暴控制

7、DHCP Snooping

8、IP Source Guard


1、端口隔离

用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

2、MAC地址表安全

MAC地址表项类型包括:

  • 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
  • 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
  • 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

3、端口安全

通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。

端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

安全MAC地址分为以下类型:

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

安全MAC地址通常与安全保护动作结合使用,常见的安全保护动作有:

Restrict:丢弃源MAC地址不存在的报文并上报告警。

Protect:只丢弃源MAC地址不存在的报文,不上报告警。

Shutdown:接口状态被置为error-down,并上报告警。

4、MAC地址漂移防止与检测

MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。

正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

 

更多计算机网络相关学习资料领取

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

具体领取方式见文末

5、MACsec

绝大部分数据在局域网链路中都是以明文形式传输的,在某些安全性要求较高的场景下存在安全隐患。

MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为802.1AE。

在交换机之间部署MACsec保护数据安全,例如在接入交换机与上联的汇聚或核心交换机之间部署 。 当交换机之间存在传输设备时可部署MACsec保护数据安全。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

6、交换机流量控制——风暴控制

风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

风暴控制与流量抑制相比的优势是可以同时监控接口下的广播报文、未知组播报文和未知单播报文各自的包平均速率,并根据阈值对接口采取阻塞相关报文或者关闭物理接口的惩罚动作。

本例中,Switch作为二层网络到路由器的衔接点,当需要限制二层网络转发过来的用户广播、未知组播和未知单播报文时,可以通过在Switch的GE0/0/1上配置风暴控制功能来实现。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

7、DHCP Snooping

为了保证网络通信业务的安全性,引入了DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP 服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

目前DHCP协议在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

DHCP Snooping主要是通过DHCP Snooping信任功能和DHCP Snooping绑定表实现DHCP网络安全。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

DHCP Snooping的信任功能,能够保证DHCP客户端从合法的DHCP服务器获取IP地址。

8、IP Source Guard

IP地址欺骗攻击中,攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。

IP源防攻击(IPSG,IP Source Guard)是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

更多计算机网络相关学习资料领取

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

华为交换机式以太网的内部安全防护,计算机网络,网络工程师,华为认证,网络,学习,笔记

 ↓ 关注+点赞后 ↓,文章底部联系我领取 文章来源地址https://www.toymoban.com/news/detail-860340.html

到了这里,关于华为认证网络工程师学习笔记——以太网交换安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HCIA-Cloud Computing V5.0 华为认证云计算工程师在线课程章节测试题及解析

    第一章:云计算概述 1、以下属于虚拟化技术出现及发展的主要驱动力是哪一项? A.互联网的出现 B.降低硬件资源的故障率 C.充分利用硬件资源 D.提高硬件资源的辨识度 正确答案:C 答案解析:虚拟化技术最初将传统硬件与软件进行解耦,在虚拟化平台上可以运行更多的操作系

    2024年02月04日
    浏览(44)
  • 【华为HCIP | 高级网络工程师】刷题日记(8)

    个人名片: 🐼 作者简介:一名大二在校生 🐻‍❄️ 个人主页:落798. 🐼 个人WeChat:落798. 🕊️ 系列专栏: 零基础学java ----- 重识c语言 ---- 计算机网络 🐓 每日一句: 看淡一点在努力,你吃的苦会铺成你要的路! 1、在IPsec中,能够用哪一个协议来实现数据的完整性?

    2024年02月13日
    浏览(29)
  • HCIA-AI V3.5华为认证人工智能工程师在线课程章节测试题+结课测试题汇总

    章节测试题: 第1章 人工智能概览 1、以下属于人工智能的应用方向的有哪些选项? A.计算机视觉 B.自然语言处理 C.语音处理 D.智慧城市 正确答案:ABCD 2、人工智能的三大主要学派,包括: A.符号主义 B.连接主义 C.行为主义 D.行动主义 正确答案:ABC 3、当前人工智能的发展属于

    2024年02月04日
    浏览(51)
  • Golang 中高级工程师学习笔记

    闭包(Closure)是一种函数值,它可以引用在其外部定义的变量。闭包允许这些变量保持在函数内部,而不是被每次调用时重新创建。闭包的作用主要体现在以下几个方面 封装: 闭包允许函数访问其外部作用域中的变量,形成了一种封装。这意味着可以在闭包内部定义私有的

    2024年01月21日
    浏览(41)
  • 吴恩达|chatgpt 提示词工程师学习笔记。

    目录 一、提示指南 写提示词的2大原则: 模型的限制 二、迭代 三、总结 四、推断 五、转换 六、扩展 七、对话机器人 吴恩达和openai团队共同开发了一款免费的课程,课程是教大家如何更有效地使用prompt来调用chatgpt,整个课程时长1个半小时,也提供了对应的环境和代码,大

    2024年02月08日
    浏览(50)
  • C++从小白到初级工程师【个人学习笔记】

    C++作为能和计算机硬件打交道的语言,在计算机世界中具有重要意义。在Android 应用层的JNI开发中,Android framework层、驱动层、kernel层均使用广泛。 相应的,如果想对Android系统漏洞和安全防护有更多了解,对C++的了解是必不可少的。 本文是笔者对于自己系统学习C++语言的记录

    2024年01月23日
    浏览(43)
  • 成为一名高级网络安全工程师,你需要学习什么?

    这是我的建议如何成为网络安全工程师,你应该按照下面顺序学习。 第一件事你应该 学习如何编程 ,我建议首先学python,然后是java。 (非必须)接下来学习一些算法和数据结构是很有帮助的,它将帮助你更好的编程。 一旦你学会如何编程,你应该 学习如何用 c 编程 。重

    2024年02月04日
    浏览(51)
  • 零基础成为网络工程师经验分享,附完整学习路线

    总有粉丝问我:零基础怎么成为网络工程师?最近正好在整理一份学习路线,趁着这个契机来分享一下经验。 相比IT类的其它岗位,网络工程师的学习方向是比较明亮的。想要成为网络工程师,华为认证就是最好的学习方法。而网络工程师的从零开始学习就是从华为认证的初

    2024年02月02日
    浏览(57)
  • 2023年网络安全工程师学习教程+资料分享

    接下来我将分享一份2023年最新版网络安全工程师学习教程,本文将从 学习路线、学习规划、学习方法 三个方向来讲述零基础小白如何进阶网络安全工程师,全文篇幅有点长,同学们可以先点个收藏,以免日后错过了。前排提示: 文末有【282G】的网络安全工程师从入门到进

    2023年04月08日
    浏览(49)
  • AIGC学习笔记(1)——AI大模型提示词工程师

    1.1 AIGC的发展和产业前景 前言 什么是AI? 人工智能(Artificial Intelligence) 什么是AGI? 通用人工智能(Artificial General Intelligence) 什么是AI2.0? ChatGPT的横空出世代表着 AI2.0 时代,也就是通用人工智能时代 什么是大模型? 是大规模语言模型(Large Language Model)的简称。语言模型

    2024年02月03日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包