最后更新:2022-06-29 10:27:24 手机定位技术交流文章
应用场景:为防止未经授权用户私下访问开关、路由器和其他设备进入网络,公司网络管理带来了安全风险。 禁止通过相关技术手段,其中两个是:配置端口安全和配置基于接口的ARP表项限制
分别介绍了两种方法的操作原理和配置:
端口安全: 将由设备端口学习的动态MAC地址转换为安全的MAC地址.为了在接口下启用此功能,并限制从接口中学习的MAC表项目的最大数量,当超过设置值时,将随后的用户丢弃消息,从而确保接口端口的访问是安全的,增强设备安全性。
1.1安全MAC地址分为三个类别:
(1)安全动态MAC地址(端口安全已启用,但没有“粘贴”启用,在设备重新启动时,表项将丢失,在没有“老化时间”的情况下不会老化,除非“老化时间”已配置)
(2)安全静态MAC地址(手动配置的静态MAC地址不能老化,不能丢失设备重新启动表项)
配置命令:port-securityenableport-security mac-address0001-0002-0003vlan10
(3)粘贴的MAC地址(端口安全被启用和粘贴被启用,不老化和设备重新启动表项没有丢失,这是建议的)
配置步骤(在界面视图下操作):
port-securityenable
port-security mac-addresssticky
port-security max-mac-num10
port-security protect-actionrestrict
(4)终端的安全保护分为以下三个类型:
ARP表的限制: 当访问的用户主机发起ARP攻击时,要防止整个设备的ARP表资源耗尽。该界面下的配置界面可以学习动态ARP表项目的最大数目,超过此设置值将不允许任何新的动态ARP表项目。
场景1:ARP表项目限制
LSW1上配置
#
配置接口GE0/0/1(LSW1)可以学习到两个与VLAN10相对应的动态ARP表。
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
arp-limit vlan 10 maximum 2
#
或者配置VLANIF10接口学习最大10个动态ARP表项目。
#
interface Vlanif10
ip address 192.168.100.254 255.255.255.0
dhcp select interface
arp-limit maximum 10
#
在LSW1上,执行显示Arp所有以查看ARP声明记录,只学习PC1和PC2ARP声明。
执行显示arp-limit以查看ARP限度表项目记录
除了PC3,PC1和PC2也可以访问。
场景2:配置港口安全
LSW2配置:
#
vlan batch 10
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 10
#
PC4和PC5可以访问网络
在LWS1上查看ARP表项目
在打开GE0/0/5端口的安全端口后,再检查一下PC4和PC5是否能访问网络开关
[Huawei-GigabitEthernet0/0/5]port-security enable
[Huawei-GigabitEthernet0/0/5]port-security protect-action protect
[Huawei-GigabitEthernet0/0/5]port-security mac-address sticky
[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 1
执行重新启动命令,重新启动LSW1,并清除ARP表项(Reset arp all command cannot be used on ENSP)。
在PC4和PC5上,测试访问网络开关的能力分别显示只有PC4才能访问,而PC5则被拒绝。
在GE0/0/1接口下学习的ARP条目查看
建议: 更改港口安全保护功能以限制和报告警告,同时删除消息.
[Huawei-GigabitEthernet0/0/5]port-security protect-action restrict
设备输出的报警如下
Jun 27 2022 01:32:25-08:00 Huawei DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5
.25.191.3.1 configurations have been changed. The current change number is 13, t
he change loop count is 0, and the maximum number of records is 4095.
Jun 27 2022 01:32:32-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1
.2011.5.25.42.2.1.7.6 The number of MAC address on interface (10/10) GigabitEthe
rnet0/0/5 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3
:shutdown)
本文由 在线网速测试 整理编辑,转载请注明出处 。