首页 > 其他分享 >端口安全技术

端口安全技术

时间:2023-08-25 23:32:15浏览次数:43  
标签:端口 GigabitEthernet0 技术 接口 安全 MAC interface security port

背景

  1. 企业要求接入层交换机上每个连接终端设备的接口均只允许一台pc接入网络(限制MAC地址接入数量)。如果有员工试图在某个接口下级联一台交换机或者路由器,那么这种行为应该被发现或者禁止。
  2. 另一些企业还可能会要求只有MAC地址为可信任的终端发送的数据帧才允许被交换机转发到上层网络,员工不能私自更换位置(变更交换机的接入端口)。
  3. 通过交换机的端口安全(port security)特性可以解决这些问题。

端口安全概述

  1. 通过在交换机的特定接口上部署端口安全,可以限定接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
  2. 端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和sticky MAC),阻止非法用户通过接口和交换机通信,从而增强设备的安全性。

端口安全技术原理

端口安全技术_数据帧

端口安全配置命令

1、使能端口安全功能

接口模式下:port-security enable//缺省情况下,未使能端口安全功能

2、配置端口安全动态MAC学习限制数量

接口模式下:port-security max-max-num max-number //缺省情况下,接口学习的安全MAC地址限制数量为1

3、手工配置安全静态MAC地址表项

接口模式下:port-security mac-address mac-address vlan vlan-id

4、配置端口安全保护动作

端口模式下:port-security protect-action {protect|restrict|shutdown} //缺省情况下,端口安全保护动作为restrict

5、配接口学习到的安全动态MAC地址的老化时间

接口模式下:port-security aging-time time [type{absolute|inactivity}] //缺省情况下,接口学习的安全动态MAC地址不老化

6、使能接口Sticky MAC功能

接口模式下:port-security mac-address sticky //缺省情况下,接口未使能sticky MAC功能

7、配置接口Sticky MAC学习限制数量

接口模式下:port-security max-mac-num max-number //缺省数量为1

8、手工配置一条sticky-mac表项

接口模式下:port-security mac-address sticky mac-address vlan vlan-id

配置实例

端口安全技术_数据帧_02


[sw1]display current-configuration  

#

sysname sw1

#

vlan batch 10 20

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

dhcp enable

#

diffserv domain default

#

drop-profile default

#

ip pool dhcpvlan10

gateway-list 10.1.1.1

network 10.1.1.0 mask 255.255.255.0

dns-list 8.8.8.8

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif10

ip address 10.1.1.1 255.255.255.0

dhcp select global

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

port-security enable

port-security protect-action shutdown

port-security max-mac-num 5

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/4

#

interface GigabitEthernet0/0/5

#

interface GigabitEthernet0/0/6

#

interface GigabitEthernet0/0/7

#

interface GigabitEthernet0/0/8

#

interface GigabitEthernet0/0/9

#

interface GigabitEthernet0/0/10

#

interface GigabitEthernet0/0/11

#

interface GigabitEthernet0/0/12

#

interface GigabitEthernet0/0/13

#

interface GigabitEthernet0/0/14

#

interface GigabitEthernet0/0/15

#

interface GigabitEthernet0/0/16

#

interface GigabitEthernet0/0/17

#

interface GigabitEthernet0/0/18

#

interface GigabitEthernet0/0/19

#

interface GigabitEthernet0/0/20

#

interface GigabitEthernet0/0/21

#

interface GigabitEthernet0/0/22

#

interface GigabitEthernet0/0/23

#

interface GigabitEthernet0/0/24

#

interface NULL0

#

user-interface con 0

idle-timeout 0 0

user-interface vty 0 4

#

return

[sw1] 

标签:端口,GigabitEthernet0,技术,接口,安全,MAC,interface,security,port
From: https://blog.51cto.com/u_13560030/7236581

相关文章

  • 人工智能技术:现状、挑战与未来展望
    随着科技的快速发展,人工智能(AI)已成为改变世界的关键技术之一。它正在逐步改变我们的生活方式,提高工作效率,推动产业升级,甚至重塑国际秩序。本文将简述人工智能技术的现状、挑战和未来展望,帮助您更好地了解这一前沿技术。一、人工智能技术的定义与发展历程人工智能是指通过计算机......
  • 《落实算法安全主体责任基本情况》范文,修改主体即可提交
    在数字化时代,算法已经成为了商业竞争和创新的关键要素。然而,算法的广泛应用也引发了对其安全性和合规性的关切。《落实算法安全主体责任基本情况》作为算法备案过程中的一环,具有极高的专业性,需要企业全面考虑算法的隐私保护、数据合规、风险预防等一系列关键问题。正因如此,许多......
  • java-结束端口对应的process
    importjava.io.BufferedReader;importjava.io.IOException;importjava.io.InputStreamReader;publicclassProcessKiller{publicstaticvoidmain(String[]args){intport=8080;//要释放的端口号try{//构造命令......
  • 微信开发之一键邀请好友加入群聊的技术实现
    邀请群成员(开启群验证)  若群开启邀请确认,仅能通过本接口邀请群成员请求URL:http://域名/addChatRoomMemberVerify请求方式:POST请求头Headers:Content-Type:application/jsonAuthorization:login接口返回参数:参数名必选类型说明wId是String登录实例标......
  • 铁四院与您相约成都,共赴2023国际桥梁与隧道技术大会!
    第十一届国际桥梁与隧道技术大会将于9月23日-25日在成都举办,中铁第四勘察设计院集团有限公司作为支持单位之一,届时将与各界同仁加强交流互鉴,共话桥隧未来!铁四院现代交通建设领域的领跑者中铁第四勘察设计院集团有限公司(铁四院)成立于1953年,总部设在湖北省武汉市,是世界500强、全球最......
  • 工控机与自助检票机完美融合,带给您便捷、安全的轨道交通体验!
    随着城市化进程的加速和人口的不断增长,城市轨道交通建设正日益成为解决交通拥堵、提高交通工作效率的重要举措。然而,仅仅依靠传统的交通设施已经无法满足城市发展的需求,轨道交通智能系统建设成为了不可忽视的发展趋势。AFC,即自动售检票系统,是集计算机、通信、网络、自动控制等多项......
  • 微信开发之一键创建微信群聊的技术实现
    创建微信群本接口为敏感接口,请查阅调用规范手册创建后,手机上不会显示该群,往该群主动发条消息即可显示。请求URL:http://域名地址/createChatroom请求方式:POST请求头Headers:Content-Type:application/jsonAuthorization:login接口返回参数:参数名必选类型说明wId是String登录实例标识use......
  • 期货云开户保证资金安全
    目前期货开户主要有两种方式:一种是到营业部现场进行纸质开户,带着身份证和银行卡到营业部现场,会有开户人员指导。另一种是网上开户,下载APP按照流程提示操作就好,二十分钟就能搞定,个人比较推荐这种开户方式。不管选择哪种开户方式,身份证和银行卡都是必备的,开户后需要自行关联银期,到银......
  • 微信开发之一键修改群聊备注的技术实现
    修改群备注修改群名备注后,如看到群备注未更改,是手机缓存问题,可以连续点击进入其他群,在点击进入修改的群,再返回即可看到修改后的群备注名,群名称的备注仅自己可见请求URL:http://域名地址/modifyGroupRemark请求方式:POST请求头Headers:Content-Type:application/jsonAuthorization:login......
  • IM跨平台技术学习(八):新QQ桌面版为何选择Electron作为跨端框架
    本文由QQ技术团队王辉、吴浩、陈俊文分享,编辑Tina整理,本文收录时有内容修订和排版优化。1、引言在瞬息万变的互联网行业中,年过二十四的即时通讯IM应用QQ堪称超长寿的产品,见证了中国互联网崛起的完整历程。然而,如今这个元老级产品经历了一次从内到外彻底的重构。在这次重构......