程序员经验分享-hwhale

第十五讲:神州交换机端口安全配置

2023-11-05

知识点:

  1. 开启端口安全模式;
  2. 设置端口最大安全数;
  3. 端口绑定MAC地址;
  4. 违规处理;
  5. 锁定安全端口;
  6. MAC地址与IP的绑定;
  7. 端口镜像。

实验拓扑如下图所示

PC机

IP地址

掩码

MAC地址

端口

PC1

192.168.1.10

255.255.255.0

00-0b-4c-9e-2a-1c

E1/0/1

PC2

192.168.1.11

255.255.255.0

00-0b-2e-5d-62-4e

E1/0/2

PC3

192.168.1.12

255.255.255.0

00-0b-cd-4a-97-08

E1/0/3

一、静态绑定单个端口与设备MAC地址:

1.绑定MAC地址

S1(config)#interface ethernet1/0/1

S1(config-if-ethernet1/0/1)#switchport port-security        //开启端口安全

S1(config-if-ethernet1/0/1)#switchport port-security maximum 10  //设置端口安全最大数为10

S1(config-if-ethernet1/0/1)#switchport port-security mac-address 00-0b-4c-9e-2a-1c

     // E1/0/1端口绑定PC1的MAC地址

S1(config-if-ethernet1/1)#switchport port-security violation shutdown   //违规关闭

S1(config-if-ethernet1/1)#switchport port-security lock     //锁定安全端口

 二.验证配置

1.用如下命令验证配置:

Switch#show port-security                 //查看端口安全

Switch#show port-security mac-address      //查看绑定的MAC地址

2.验证PC1只能通过其绑定的E1/1端口与网络进行通信

PC1分别Ping PC2和PC3可以Ping通

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

   Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Ping statistics for 192.168.1.12:

        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

    Approximate round trip times in milli-seconds:

        Minimum = 0ms, Maximum = 0ms, Average = 0ms

把PC1更换到E1/4端口,再次Ping PC2和PC3,已无法Ping通:

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

    Request timed out.

    Request timed out.

    Request timed out.

    Request timed out.

    Ping statistics for 192.168.1.12:

        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

3.验证其他设备在特定端口的绑定情况

    把PC2更换到E0/0/1口,分别Ping E1/3口的PC3和E14口的PC1:

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

    Approximate round trip times in milli-seconds:

        Minimum = 0ms, Maximum = 0ms, Average = 0ms

  •  

C:\Documents and Settings\Administrator>ping 192.168.1.10

    Pinging 192.168.1.10 with 32 bytes of data:

    Request timed out.

    Request timed out.

    Request timed out.

    Request timed out.

    Ping statistics for 192.168.1.10:

     Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

可见:端口E1/1绑定了PC1,非PC1的MAC地址依然可以与其他MAC地址通信,只是PC1只能通过E1/1端口进行通信。

三、绑定MAC-IP地址:

     MAC-IP地址绑定可以将端口绑定为指定的设备和IP地址,更换设备或IP地址均无法通过此端口访问

    S1(config)#am enable

    S1(config)#interface ethernet1/0/2

    S1(config-if-ethernet1/1)#am port

    S1(config-if-ethernet1/1)#am mac-ip-pool 00-0b-2e-5d-62-4e 192.168.1.11

                             // E1/0/2端口绑定PC2的MAC与PC2的IP地址

将端口E1/0/2绑定为PC2,此时PC2可通过该端口访问PC1或PC3。若更改PC2的IP地址,或将其他设备(如PC3)连接E1/0/2端口则无法进行访问。

四、绑定IP地址区间:

    将端口绑定一个IP地址区间,则此区间的IP地址设备可通过该端口进行访问,不在此区间的IP地址无法通过该端口访问网络

    S1(config)#am enable

    S1(config)#interface ethernet 1/0/3

    S1(config-if-ethernet1/2)#am port

    S1(config-if-ethernet1/2)#am ip-pool   192.168.1.12 2    

           //将端口E1/0/3绑定192.168.1.12和192.168.1.13两个IP地址

    除192.168.1.12和192.168.1.13外的其他IP地址均无法通过此端口通信。

五、端口镜像

第1步:配置源端口

S1(config)#monitor session 1 source interface fastEthernet 1/0/2 both

    //监听E1/0/2端口的进出流量

             both         管理发送和接收的流量

             rx           只管理接收的流量

             tx           只管理发送的流量

第2步:配置端口镜像

S1(config)#monitor session 1 destination interface fastEthernet 1/0/1

     //把监听端口的流量镜像到端口E1/0/1

第3步:验证配置

S1(config)#show monitor session 1

sess-num: 1

span-type: LOCAL_SPAN

src-intf:

FastEthernet 1/0/2            frame-type Both

dest-intf:

FastEthernet 1/0/1

在PC1上启动抓包软件,使PC2 ping PC3,看是否可以捕捉到数据包。

端口镜像的限制

(1) 目前只支持一个镜像目的端口,镜像源端口则没有使用上的限制,可以是1个也可以是多个,多个源端口可以在相同的VLAN,也可以在不同VLAN。但如果镜像目的端口要能镜像到多个镜像源端口的流量,镜像目的端口必须要同时属于这些镜像源端口的所在的VLAN。

(2) 镜像目的端口不能是端口聚合组成员;

(3) 镜像目的端口的吞吐量如果小于镜像源端口吞吐量的总和,则目的端口无法完全复制源端口的流量;请减少源端口的个数或复制单向的流量,或者选择吞吐量更大的端口作为目的端口。

 

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

网络搭建

网络设备

安全

网络

运维

第十五讲:神州交换机端口安全配置 的相关文章

  • SRC漏洞挖掘经验+技巧篇

    一 漏洞挖掘的前期 信息收集 虽然是前期 但是却是我认为最重要的一部分 很多人挖洞的时候说不知道如何入手 其实挖洞就是信息收集 常规owasp top 10 逻辑漏洞 重要的可能就是思路猥琐一点 这些漏洞的测试方法本身不是特别复杂 一般混迹

  • 【信道估计】【MIMO】【FBMC】未来移动通信的滤波器组多载波调制方案(Matlab代码实现)

    欢迎来到本博客 博主优势 博客内容尽量做到思维缜密 逻辑清晰 为了方便读者 座右铭 行百里者 半于九十 本文目录如下 目录 1 概述 2 运行结果 3 参考文献 4 Matlab代码及文章

  • 线程安全(中)--彻底搞懂synchronized(从偏向锁到重量级锁)

    接触过线程安全的同学想必都使用过synchronized这个关键字 在java同步代码快中 synchronized的使用方式无非有两个 通过对一个对象进行加锁来实现同步 如下面代码 synchronized lockObject 代码 对

  • 2种方法,教你使用Python实现接口自动化中的参数关联

    通常在接口自动化中 经常会参数关联的问题 那么什么是参数关联 参数关联就是上一个接口的返回值会被下一个接口当做参数运用 其中Python中可以实现参数关联的方法有很多种 今天小编给大家介绍下 如何通过Python来实现接口自动化中的参数关联

  • 用户数据中的幸存者偏差

    幸存者偏差 Survivorship bias 是一种常见的逻辑谬误 意思是没有考虑到筛选的过程 忽略了被筛选掉的关键信息 只看到经过筛选后而产生的结果 先讲个故事 二战时 无奈德国空防强大 盟军战机损毁严重 于是军方便找来科学家统计飞机受

  • messages,CentOS 7不收集日志或不存在 /var/log/messages

    var log message var log secure等都不记录了 并且都是空文件 重启机器 reboot 无效 重启日志 systemctl start rsyslog 无效 怀疑空间不足 删除 var log messages 重

  • Android SDK开发艺术探索(五)安全与校验

    一 前言 本篇是Android SDK开发艺术探索系列的第五篇文章 介绍了一些SDK开发中安全方面的知识 包括资源完整性 存储安全 权限校验 传输安全 代码混淆等知识 通过基础的安全配置为SDK保驾护航 探索SDK开发在安全方面的最佳实践

  • 步骤详图 教你在linux搭建容器环境

    警告 切勿在没有配置 Docker YUM 源的情况下直接使用 yum 命令安装 Docker 1 准备工作 系统要求 要安装Docker CE 社区版 操作系统的最低要求是CentOS7 7以下版本都不被支持 卸载旧版本 Docker改版

  • 小白入门黑客之渗透测试(超详细)基本流程(内附工具)

    经常会收到小伙伴们这样的私信 为什么我总是挖不到漏洞呢 渗透到底是什么样的流程呢 所以全网最详细的渗透测试流程来了 渗透测试其实就是通过一些手段来找到网站 APP 网络服务 软件 服务器等网络设备和应用的漏洞 告诉管理员有哪些漏洞 怎么填补

  • socket网络编程几大模型?看看CHAT是如何回复的?

    CHAT回复 网络编程中常见的有以下几种模型 1 阻塞I O模型 Blocking I O 传统的同步I O模型 一次只处理一个请求 2 非阻塞I O模型 Non blocking I O 应用程序轮询调用socket相关函数检查请求 不需

  • 网络安全基础知识面试题库

    1 基于路由器的攻击手段 1 1 源IP地址欺骗式攻击 入侵者从外部传输一个伪装成来自内部主机的数据包 数据包的IP是 内网的合法IP 对策 丢弃所有来自路由器外端口 却使用内部源地址的数据包 1 2 源路由攻击 入侵者让数据包循着一个不可

  • tcpdump抓包

    tcpdump抓包 基本概念 1 类型的关键字 host 指明一台主机 如 host 10 1 110 110 net 指明一个网络地址 如 net 10 1 0 0 port 指明端口号 如 port 8090 2 确定方向的关键字 sr

  • 国外拨号VPS指南:开启你的全球网络之旅

    在当今数字化时代 互联网已经成为了我们生活的一部分 而要在全球范围内畅通无阻地访问互联网 拥有一个可靠的国外拨号VPS是非常重要的 无论您是为了工作 学习还是娱乐 国外拨号VPS都可以为您提供更广泛的网络体验 本文将为您提供国外拨号VPS的

  • 内网安全:隧道技术详解

    目录 隧道技术 反向连接技术 反向连接实验所用网络拓扑图及说明 网络说明 防火墙限制说明 实验前提说明 实战一 CS反向连接上线 拿下Win2008 一 使用转发代理上线创建监听器 二 上传后门执行上线 隧道技术 SMB协议 SMB协议介绍

  • 【网络安全】——区块链安全和共识机制

    区块链安全和共识机制 摘要 区块链技术作为一种分布式去中心化的技术 在无需第三方的情况下 使得未建立信任的交易双方可以达成交易 因此 区块链技术近年来也在金融 医疗 能源等多个行业得到了快速发展 然而 区块链为无信任的网络提供保障的同时 也

  • 为什么我强烈推荐大学生打CTF!

    前言 写这个文章是因为我很多粉丝都是学生 经常有人问 感觉大一第一个学期忙忙碌碌的过去了 啥都会一点 但是自己很难系统的学习到整个知识体系 很迷茫 想知道要如何高效学习 这篇文章我主要就围绕两点 减少那些罗里吧嗦的废话 直接上干货 CTF如

  • 【无标题】

    大家都知道该赛项的规程和样题向来都是模棱两可 从来不说具体的内容 导致选手在备赛时没有头绪 不知道该怎么训练 到了赛时发现题目和备赛的时候完全不一样 那么本文将以往年信息安全管理与评估赛项经验来解读今年2023年国赛的规程 帮助选手们指明方

  • DSCA190V 57310001-PK

    DSCA190V 57310001 PK DSCA190V 57310001 PK 具有两个可编程继电器功能 并安装在坚固的 XP 外壳中 DSCA190V 57310001 PK 即可使用 只需最少的最终用户校准 DSCA190V 573

  • 服务器中E5和I9的区别是什么,如何选择合适的配置

    随着科技的进步 服务器处理器的性能在不断攀升 其中 Intel的E5和I9系列处理器在业界具有广泛的影响力 而当我们在选择服务器的时候会有各种各样的配置让我们眼花缭乱不知道该怎么去选择 下面我跟大家分享一下E5跟I9有什么区别 方便我们在选

  • 2023下半年软考「单独划线」合格标准公布

    中国计算机技术职业资格网发布了 关于2023年度下半年计算机软件资格考试单独划线地区合格标准的通告 2023下半年软考单独划线地区合格标准各科目均为42分 01 官方通告 关于2023年度下半年计算机软件资格考试单独划线地区合格标准的通告

随机推荐

  • Windows下批处理管理Nginx应用程序

    每次更新完配置 通过命令行或者任务管理器来操作Nginx重启 操作起来 显得有点麻烦 下面脚本就是解决这个问题的 cls echo off set NGINX PATH d0 set NGINX DIR cd color 0a title

  • 微软:从“开源是毒瘤”到“我爱Linux”的20年

    整理 彭慧中 责编 屠敏 出品 CSDN ID CSDNnews 英国前首相帕麦斯顿曾说过 没有永远的朋友 也没有永远的敌人 只有永远的利益 这句话用来形容微软对于开源的态度正合适 在21世纪初 曾视开源为 毒瘤 并一度想将其毁灭的微软 现

  • 优化算法选择:SGD、SGDM、NAG、Adam、AdaGrad、RMSProp、Nadam

    目录 优化算法通用框架 SGD 系列 固定学习率的优化算法 SGD SGD with Momentum SGD M SGD with Nesterov Acceleration NAG 自适应学习率的优化算法 AdaGrad AdaDelt

  • 18. TypeScript 扩展全局变量类型

    TypeScript 扩展全局变量类型 1 扩展局部变量 可以直接使用接口对已有类型进行扩展 interface String double string String prototype double function return th

  • css学习——sass(6)

    第一步 全局安装 sass 在命令行工具 npm install g sass 查看版本 sass version 第二步 手动将sass 编译为css 1 创建一个test scss 2 在命令行终端 输入sass test scss t

  • AQS相关工实现类的使用及其原理

    文章目录 1 AQS 1 1 概述 1 2 自定义不可重入锁 2 ReentrantLock 2 1 非公平锁 2 1 1 加锁解锁流程 2 1 1 1 加锁失败 2 1 1 2 解锁竞争 2 2 可重入原理 2 3 可打断原理 2 3 1

  • 虚拟乒乓球连接不上服务器,虚拟乒乓球正版

    虚拟乒乓球正版 游戏画面场景设定的比较小清新 不过其中的内容设定是超级的精彩 极其逼真的玩家操作定能带给各位最为真实的游戏体验 这个过程你需要不断锻炼自己的水平 更得要击败尽可能多的对手 玩法难度可供选择 喜欢的玩家快快点击下载试玩吧 游戏

  • 解决jdbc连接本地mysql数据库时报错Caused by: java.net.UnknownHostException: mysql

    今天在写代码的时候遇到的问题 解决问题后记录下 The last packet sent successfully to the server was 0 milliseconds ago The driver has not receiv

  • Mali GPU OpenGL ES 应用性能优化--测试+定位+优化流程

    1 使用DS 5 Streamline定位瓶颈 DS 5 Streamline要求GPU驱动启用性能测试 在Mali GPU驱动中激活性能测试对性能影响微不足道 1 1 DS 5 Streamline简介 可使用DS 5 Streamlin

  • 解决VS中scanf()函数报错问题的四种方案(详细)

    scanf函数在VS中报错的主要原因是 scanf被认为不安全而被编译器默认设置为禁用 那么如何解决这个问题呢 法一 仅将函数scanf替换为scanf s即可 其他语法不变 但scanf s函数并不是C语言函数库里的标准函数 而是VS编译

  • Android中显示网页的多种方式

    在android中显示页面主要有两种方式 一种是在Activity里面直接显示网页 另一种是调用浏览器显示网页 方式不同 使用的方法也不同 下面我们分别讲解 一 在Activity里面直接显示网页 1 在Manifest xml文件里添加I

  • Ubuntu 安装anaconda后,自动进入base虚拟环境解决

    Ubuntu关闭anaconda自动进入base虚拟环境 在Ubuntu上安装完anaconda后 发现每次打开终端后都会自动进入到base的虚拟环境中去 虽然在这些环境下使用问题不大 但一些软件的安装在虚拟环境下有影响 每次使用conda

  • juc并发包整理

    目录 JUC提供了java并发编程需要的类 主要分几个大模块 1 原子类操作 2 锁 3 阻塞队列 4 并发集合 5 同步器 6 线程池 7组合式异步编程 JUC的作者Doug Lea神一样的人物 其中以上很多类的实现底层实现都是基于AQS

  • QPainter绘图工具的完善

    上一篇 QPainter实现简单的绘图程序 绘图工具 文章目录 前言 撤回功能的理解 拆分的理解 一 重绘函数的写法 二 绘制判断 三 橡皮擦 感谢各位的观看 前言 gitee工程地址 PaintTool 03 学习了简单的绘图工具后 程序

  • qt中菜单栏中添加快捷键

    使用技巧 在编辑好的qt的菜单中添加快捷键 具体添加菜单栏 可以参考博客 qt中菜单栏中实现第一个简单的打开功能 Littlehero 121的博客 CSDN博客 qt菜单栏打开文件 然后就是找到这个 或者是找到这个 双击动作 开始进行编辑

  • 算法提高 彩票 我只是觉得我的代码比较帅

    算法提高 彩票 时间限制 1 0s 内存限制 256 0MB 提交此题 问题描述 为丰富男生节活动 贵系女生设置彩票抽奖环节 规则如下 1 每张彩票上印有7个各不相同的号码 且这些号码的取值范围为 1 33 2 每次在兑奖前都会公布一个由七

  • Java基础-对象序列化

    对象序列化 作用 以内存为基准 把内存中的对象存储到磁盘文件中去 称为对象序列化 使用到的流是对象字节输出流 ObjectOutputStream package per mjn serializable import java io Se

  • Ubuntu下漏洞的修复流程

    最近需要修复cve漏洞 研究了如何在源码上修复漏洞 在这里记录一下 目录 I 介绍 漏洞和补丁 CVE漏洞 普通漏洞和CVE漏洞的区别 II 获取补丁 III 应用补丁 常见的打补丁工具 打补丁的步骤 patch的用法 I 介绍 首先介绍一

  • 最优检索二叉树

    最优检索二叉树 最优检索二叉树 抛出问题 算法的基本解决思路 空隙 检索数据的平均时间 小结 最优二叉检索树的实现算法分析 关于优化函数的递推方程 复杂性估计 总结 最优检索二叉树 抛出问题 算法的基本解决思路 空隙 所谓的空隙也就是查找的

  • 第十五讲:神州交换机端口安全配置

    知识点 开启端口安全模式 设置端口最大安全数 端口绑定MAC地址 违规处理 锁定安全端口 MAC地址与IP的绑定 端口镜像 实验拓扑如下图所示 PC机 IP地址 掩码 MAC地址 端口 PC1 192 168 1 10 255 255 25

热门标签