交换安全

最新推荐文章于 2023-08-24 01:56:01 发布
原创 最新推荐文章于 2023-08-24 01:56:01 发布 · 384 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

端口安全:

目的:限制交换机上一个access端口最多可以有几个合法的源MAC地址。

只能针对access接口使用端口安全功能,默认属于vlan1

 

配置:

interface f0/0

sw mode access

switchport port-security 

开启端口安全功能,默认只能接收一个源MAC

switchport  port-security  mac-add 0030.2093.2872 手动设置本端口允许的源MAC地址(可设置多个)

switchport  port-security  mac-add sticky

 动态学习源MAC,重启后仍然生效,不用手动去添加MAC地址。

switchport  port-security  violation

定义违规操作,有以下三种:

protect  丢弃后面学到的MAC地址的数据帧 (常用)

restrict  向网管平台发送警告

shutdown(默认行为)即端口进入err-disabled状态--show int f0/1

 

STP根防护:

防止新接入的交换机抢占并成为交换网络中的STP的树根

根交换机的所有接口下:

int f0/1

  spanning-tree guard root   //将所有trunk接口强制变为DP

 

BPDU guard :

防止access口私接交换机引起STP环路(因为access口开启protfast后不能接收BPDU,不能进行STP检测)

配置BPDU guard 后,如果接口收到BPDU就直接shut down接口

全局开启:

spanning-tree portfast bpduguard default

 

接口下开启:

int f0/1

  switchport mode access  //接入口

  spanning-tree profast  //开启了端口加速功能,不能接受BPDU

  spanning-tree bpduguard enable //此接口如果连接了一台交换机,一旦收到BPDU消息,则该接口会进入err-disable状态,预防STP环路问题--接口down

 

BPDU filter:

忽略该接口收到的BPDU,该接口不参与生成树的拓扑计算,一般用来配合端口安全使用。

 

全局开启BPDU filter特性:

spanning portfast bpdufilter default

 

接口下开启:

int f0/1

  spanning-tree bpdufilter enable

注意:同时使用bpdufilter和bpduguard时,bpdufilter优先生效

交换安全——详述
HC博客
11-21 861
一、端口安全技术 将 MAC 地址固定在该接口上,如果进入该接口的数据和绑定的 MAC 地址符合就阻塞该 端口,这样可以防止 MAC 地址洪泛攻击和 MAC 中间人攻击 sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1 静态安全 MAC 地址 sw1(config)#int f0/1 sw1(config-if...
05 以太网交换安全.pptx
最新发布
01-25
以太网交换安全 以太网交换安全是网络安全中非常重要的一方面。随着网络技术的发展,以太网技术的应用越来越广泛。但是,各种网络攻击的存在,如针对ARP、DHCP等协议的攻击,仅造成了网络合法用户无法正常访问...
以太网交换安全整体技术的一个思维导图
04-23
以太网交换安全整体技术思维导图 以太网交换安全是网络安全中的一种重要技术,旨在保护以太网交换机和网络设备免受攻击和非法访问。该技术主要涉及到端口隔离、MAC地址表安全安全模式、端口安全、流量控制、报文...
智能电能表信息交换安全认证.doc
06-17
本标准规范了国家电网公司系统内费控智能电能表的技术要素,对信息交换内容和安全认证流程进行了统一,从而规范费控智能电能表的设计、生产,以便于国家电网公司统一招标、统一采购、检验及指导用户的使用。
基于零信任架构智慧城市网络安全防护、抗攻击安全接入、跨网数据交换安全、量子密码应用场景.pdf
03-03
综上,智慧城市网络安全防护涉及到零信任架构、抗攻击安全接入、跨网数据交换安全以及量子密码技术的综合应用,这些技术和方法共同构建了智慧城市网络安全的坚实屏障,保障了城市的数字化转型过程中的数据安全和系统...
基于零信任架构智慧城市网络安全防护、抗攻击安全接入、跨网数据交换安全、量子密码应用场景.docx
03-03
【基于零信任架构的智慧...综上所述,基于零信任架构的智慧城市网络安全防护、抗攻击安全接入、跨网数据交换安全和量子密码应用,共同构成了智慧城市安全防护的重要组成部分,为城市的数字化转型提供了坚实的安全基础。
交换安全---(1)
yueyadao的博客
11-23 535
交换机安全 一.针对CAM表的攻击 1.MAC 地址洪泛攻击 针对点:CAM表的存储空间有限,而且交换机没有识别的能力 攻击方法:发送大量的垃圾MAC,使CAM表的存储空间饱和,无法再学习MAC地址,当正常的主机发送来报文时,由于CAM表中找到目标MAC,该数据就成了未知单播,交换机洪泛处理。只要在同一广播域的主机(除发送主机外)都会接收到这个报文,攻击者只要将这些收到的报文解析,就可以达到窃取...
简单总结交换安全
qq_41940544的博客
07-22 3400
二层攻击分类:MAC层攻击、VLAN攻击、欺骗攻击和交换机设备上的攻击。 1)MAC攻击: 攻击方法:mac地址洪泛,中间人攻击。攻击简单描述:无效源mac地址的数据帧向交换机洪泛,消耗完交换机的cam地址表,从而阻止合法主机的mac地址生成新条目,去往其他主机的流量会向所有端口洪泛。防御策略:端口安全。 具体端口安全防御策略: a、在交换机上静态的安全MAC地址(将MAC地址和端口进行静态绑定 ...
二层交换安全
qq_45124553的博客
07-21 6622
作为通信中的重要介质--交换机,其安全通信一直是人们关注的话题,本文概述了二层交换安全的相关内容。
安全隔离与信息交换读书笔记
口苗的IT之路
06-24 5047
1.  前言 最近由于工作的关系,对安全隔离与信息交换设备产生了兴趣,就找到了《下一代安全隔离与信息交换产品原理与应用》这本书来读。通过学习,对这类产品的原理与应用有了更深的了解。本着吸收理解而是随学随忘的精神,写了本篇读书笔记,如有侵权,请联系我。 本文其实主要就两个部分,第三章是各种交换平台实现原理的框架图或结构图,而第五章就是一些对未来做项目有帮助的典型部署。 2.  概述 随着互
数据安全交换 一切从“芯”开始
weixin_33827590的博客
09-04 149
ZDNet至顶网服务器频道 07月03日 新闻消息:某天上午,浙江省厅得悉杭州某论坛发了“发现医药回扣”的帖子。发帖的网友称说,在从杭州南站到杭州的300路公汽上捡到一个U盘和一个打火机,回家后打开U盘,发现叫“XX医疗”的标题word文档里面有好多各种名目的费用,一个医生一个月光开一个品种的药品,就能拿成百上千的钱,其中拿到回扣多的就好几千,都是杭州...
交换机 stp
m0_71864767的博客
08-24 421
传统STP的收敛时间(Convergence Time)太慢,当有拓扑发生变化,整个网络需要30秒或更多时间才能恢复到稳定状态,这是许多业务场景上无法接受的,RSTP的出现就是为了缩短收敛时间(Convergence Time),以适应更严苛的使用环境的需求。RSTP虽然解决了收敛速度的问题,但是也是per vlan的spanning tree,意思是说他是基于每个VLAN一棵树,当VLAN数目非常多的时候,将面临庞大的管理问题,其次是对于交换机的硬件资源也是一个巨大的挑战。1.1 STP基本术语。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值