实现端口安全的几种机制

  一、mac绑定

  交换机安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数

  情景模拟(Cisco S3550)

  在交换机上配置从f0/11接口上只允许MAC地址为00e0.fc01.0000的主机接入

  S1(config)#int f0/11

  S1(config-if)#shutdown

  S1(config-if)#switch mode access//把端口改为访问模式

  S1(config-if)#switch port-security//打开交换机的端口安全功能

  S1(confg-if)#switch port-security maximum 1//设置只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入

  S1(config-if)#switch port-security violation shutdown

  “switch port-securityviolation{protect|shutdown|restrict}”//命令含义如下:

  lprotect;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响;

  lshutdown;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown”命令重新打开;

  lrestrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。

  S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//设置接入该端口要匹配的MAC地址

  二、ARP绑定

  ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。

  使用ARP绑定可以有效的避免广播,将ip地址与mac地址进行绑定,也可以防止本网段内的其他主机假冒本机的ip地址来进行非法的活动

  例:

  Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1

  配置局域网内IP 地址129.102.0.1对应的MAC地址为00e0.fc01.0000,经过VLAN1 经过以太网端口Ethernet0/1

  情景模拟(华为交换机)

  在交换机上配置只允许ip地址为192.168.1.200,mac地址为00e0.fc01.0000的主机进行日常的远程维护

  acl number 2000

  rule 10 permit source 192.168.1.200 0.0.0.0

  rule 20 deny source any

  user-interface vty 0 4

  acl 2000 inbound

  此时已经设置只有ip地址为192.168.1.200的主机可以进行远程访问,此时要防止其他主机来盗用管理主机的ip地址来进行远程访问

  arp static 192.168.1.200 00e0.fc01.0000

  arp绑定之后,冒充管理主机ip地址的主机就无法进行远程访问了

  三、vlan

  可以实现交换机的各个端口之间两两互不通信,将每个端口放在不同的vlan中即可实现,可以用在宽带接入中的每家每户之间不能通信,但与上联链路可以通信。

  四、端口隔离

  通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔

  离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供

  了灵活的组网方案。

  当聚合组中的某个端口加入到隔离组后,同一聚合组内的其它端口,均会自动加入

  隔离组中。

  可以在二层和三层交换机上实现端口隔离

  在二层交换机上只能创建一个隔离组,处在同一个隔离组的端口两两之间不能通信

  例:(华为二层交换机)

  1. 组网需求

  小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、

  Ethernet1/0/3、Ethernet1/0/4相连

  交换机通过Ethernet1/0/1端口与外部网络相连

  小区用户PC2、PC3和PC4之间不能互通

  2. 组网图


  3. 配置步骤

  # 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。

   system-view

  System View: return to User View withCtrl+Z.

  [Quidway] interface ethernet1/0/2

  [Quidway-Ethernet1/0/2] port isolate

  [Quidway-Ethernet1/0/2] quit

  [Quidway] interface ethernet1/0/3

  [Quidway-Ethernet1/0/3] port isolate

  [Quidway-Ethernet1/0/3] quit

  [Quidway] interface ethernet1/0/4

  [Quidway-Ethernet1/0/4] port isolate

  [Quidway-Ethernet1/0/4] quit

  [Quidway]

  # 显示隔离组中的端口信息。

   display isolate port

  Isolated port(s) on UNIT 1:

  Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4

  在三层交换机上可以创建多个隔离组,处在同一个隔离组的端口两两之间不能通信,但可以与其他隔离组中的端口通信

  例:(华为 S3526)

  1. 组网需求

  小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、

  Ethernet1/0/3、Ethernet1/0/4相连

  交换机通过Ethernet1/0/1端口与外部网络相连

  小区用户PC2和PC3之间不能互通,但都能与PC4互通

  2. 组网图


  3. 配置步骤

  # 将以太网端口Ethernet1/0/2、Ethernet1/0/3加入隔离组。

   system-view

  System View: return to User View withCtrl+Z.

  [Quidway] am enable

  [Quidway] interface ethernet1/0/2

  [Quidway-Ethernet1/0/2] am isolate ethernet1/0/3

  [Quidway-Ethernet1/0/2] quit

  # 由于在ethernet1/0/2已经指明要隔离的端口是ethernet1/0/3,所以无需在端口ethernet1/0/3重复指明其隔离端口是ethernet1/0/2,ethernet1/0/3端口将会自动将端口ethernet1/0/2视为隔离端口

  在三层交换机上不仅可以实现与二层交换机上相类似的端口隔离的功能还能实现端口与IP地址的绑定。端口和ip绑定,要求数据流量必须通过三层设备,如vlan间通信的时候就可以用到这项技术,但是如果数据流量没有通过三层设备,如vlan内部的通信,端口和ip绑定是没有意义的

  例:(华为 S3526)

  1. 组网需求

  vlan20的网关为交换机的Ethernet1/0/2端口

  vlan30的网关为交换机的Ethernet1/0/3端口

  交换机通过Ethernet1/0/1端口与外部网络相连

  vlan20内的主机只允许IP地址为192.168.20.10的主机通过Ethernet1/0/2端口与外部通信

2. 组网图


  3. 配置步骤

  # 修改端口类型

   system-view

  System View: return to User View withCtrl+Z.

  [Quidway]interface Ethernet 1/0/2

  [Quidway-Ethernet1/0/2]port link-type access

  [Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

  [Quidway-Ethernet3/0/3]port link-type access

  [Quidway-Ethernet3/0/3]quit

  # 创建svi端口

  [Quidway]vlan 20

  [Quidway-vlan20]port Ethernet 1/0/2

  [Quidway-vlan20]vlan 30

  [Quidway-vlan30]port Ethernet 1/0/3

  [Quidway-vlan30]quit

  [Quidway]interface Vlanif 20

  [Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0

  [Quidway-Vlanif20]interface Vlanif 30

  [Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

  [Quidway-Vlanif30]quit

  # 设置允许通过的主机

  [Quidway] am enable

  [Quidway] interface ethernet1/0/2

  [Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10

  [Quidway-Ethernet1/0/2] quit

  # 此时vlan20中能通过其网关的就只有192.168.20.10这台主机了

  五、ACL(二层、三层)

  ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为

  了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特

  定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

  ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、

  目的地址、端口号等。

  由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如

  QoS中流分类规则的定义。

  根据应用目的,可将ACL分为下面几种:

  基本ACL:只根据三层源IP地址制定规则。

  高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类

  型、协议特性等三、四层信息制定规则。

  二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类

  型等二层信息制定规则。

  ACL在交换机上的应用方式

  1. ACL直接下发到硬件中的情况

  交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和

  流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使

  在定义ACL时配置了匹配顺序,该匹配顺序也不起作用。

  ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、通过ACL过

  滤转发数据等。

  2. ACL被上层模块引用的情况

  交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹

  配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配

  该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义

  ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹

  配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新

  指定其匹配顺序。

  ACL被软件引用的情况包括:对登录用户进行控制时引用ACL等。

  例:(华为 S3526)

  ACL 直接下发到硬件中

  1. 组网需求

  vlan20的网关为交换机的Ethernet1/0/2端口

  vlan30的网关为交换机的Ethernet1/0/3端口

  交换机通过Ethernet1/0/1端口与外部网络相连

  IP地址为192.168.20.10的主机MAC地址为1E-65-9D-2D-21-E2

  IP地址为192.168.30.10的主机MAC地址为1C-65-9D-2D-21-E2

  禁止192.168.20.10的主机与192.168.30.10的主机通信

  2. 组网图


  3. 配置步骤

  # 修改端口类型

   system-view

  System View: return to User View withCtrl+Z.

  [Quidway]interface Ethernet 1/0/2

  [Quidway-Ethernet1/0/2]port link-type access

  [Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

  [Quidway-Ethernet3/0/3]port link-type access

  [Quidway-Ethernet3/0/3]quit

  # 创建svi端口

  [Quidway]vlan 20

  [Quidway-vlan20]port Ethernet 1/0/2

  [Quidway-vlan20]vlan 30

  [Quidway-vlan30]port Ethernet 1/0/3

  [Quidway-vlan30]quit

  [Quidway]interface Vlanif 20

  [Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0

  [Quidway-Vlanif20]interface Vlanif 30

  [Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

  [Quidway-Vlanif30]quit

  # 设置被禁止通信的主机

  [Quidway]acl number 4000 match-order auto

  [Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2

  [Quidway-acl-link-4000]quit

  [Quidway]packet-filter link-group 4000

  例:(华为 S3526)

  ACL 被上层模块引用

  1、需求

  某个设备只允许管理员主机进行远程访问,假设管理员主机IP为192.168.2.100

  2、配置

  # 创建访问控制列表

   system-view

  [Quidway] acl number 2000 match-order auto

  [Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0

  [Quidway-acl-basic-2000] rule deny source any

  [Quidway-acl-basic-2000] quit

  # 被上层模块引用

  [Quidway]user-interface vty 0 4

  [Quidway-ui-vty0-4] authentication-mode none

  [Quidway-ui-vty0-4] acl 2000 inbound

  [Quidway-ui-vty0-4]quit

时间: 2024-10-28 18:11:33

实现端口安全的几种机制的相关文章

ASP组件上传的三种机制和实现原理分析

上传 ASP 组件 FILE对象 当前,基于浏览器/服务器模式的应用比较流行.当用户需要将文件传输到服务器上时,常用方法之一是运行FTP服务器并将每个用户的FTP默认目录设为用户的Web主目录,这样用户就能运行FTP客户程序并上传文件到指定的 Web目录.这就要求用户必须懂得如何使用FTP客户程序.因此,这种解决方案仅对熟悉FTP且富有经验的用户来说是可行的. 如果我们能把文件上传功能与Web集成,使用户仅用Web浏览器就能完成上传任务,这对于他们来说将是非常方便的.但是,一直以来,由于File

Mysql 查看端口号的几种方式

链接: http://blog.itpub.net/blog/post/id/1592460/ 标题: MySQL 查看端口的几种方式 作者:lōττéry版权所有[文章允许转载,但必须以链接方式注明源地址,否则追究法律责任.] 注释:    今天通过"Navicat for MySQL"工具链接生产环境数据库时,需要输入 mysql"端口"号,所以找到了几种 查看mysql端口的方法,特此整理下提供参考.   默认端口 3306:    OS层 ***** ps

组网经验:端口映射的几种实现方法

采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网内部机器的特定端口服务的访问.笔者总结了在教学与组网实践中采用的几种端口映射方法,在此与大家交流探讨. 利用IIS实现WWW和FTP服务的重定向 Windows 2000和Windows XP都包含了IIS组件,其中的WWW和FTP服务具有主目录重定向设置,与端口映射相比,虽名称不同但作用类似.本文以Windows 2000下IIS 5.0的WWW和FTP服务举例说明. 1.WWW服务的重定向 打开管理工具中的In

CB下实现对端口读写的两种方法

在C++Builder中,不能够使用Turbo C中的outputb和inputb端口读写函数.但我们可以有另外两种办法实现这个功能.本文介绍怎样在C++Builder下实现端口读写,并给出两种方法的源代码. 在C++Builder下对端口的读写共有两种方法,一种为内嵌汇编语言,另一种为使用__emit__函数. 1 通过内嵌汇编语言实现端口的读写 在C++Builder中,汇编语句必须被包含在以关键字asm为起始的一对大括号中: asm {汇编语句1--} 利用内嵌汇编语言编制端口输出函数如下

带客通:通过一种机制帮助房地产开发商直达用户

摘要: 今天的中国,房价居高不下,宇宙中心五道口的房价已是十万一平了,连新浪微博的营收都要在这房价面前汗颜.而究其根本,低效且多环节的营销费用让房产溢价不少一来媒体失效, 今天的中国,房价居高不下,宇宙中心五道口的房价已是十万一平了,连新浪微博的营收都要在这房价面前汗颜.而究其根本,低效且多环节的营销费用让房产溢价不少--一来媒体失效,大量的媒体广告也无法带来足够的客户,分摊到每个客户身上的获取成本极度增高,二则中间的代理层次太多:短信公司.call客公司.派单公司以及各种搜房.房多多.好屋中国

如何测试端口通不通(四种方法)_linux shell

一般情况下使用"telnet ip port"判断端口通不通,其实测试方法不止这一种,还有很多种方法,下面小编给大家分享了几种方法,具体内容请往下看: 准备环境 启动一个web服务器,提供端口. [wyq@localhost ~]$ python -m SimpleHTTPServer 8080 Serving HTTP on 0.0.0.0 port 8080 ... 用其它web服务器提供端口也一样,由于python比较方便,这里就用它 1.使用telnet判断 telnet是wi

端口映射的几种实现方法

采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网内部机器的特定端口服务的访问.笔者总结了在教学与组网实践中采用的几种端口映射方法,在此与大家交流探讨. 利用IIS实现WWW和FTP服务的重定向 Windows 2000和Windows XP都包含了IIS组件,其中的WWW和FTP服务具有主目录重定向设置,与端口映射相比,虽名称不同但作用类似.本文以Windows 2000下IIS 5.0的WWW和FTP服务举例说明. 1.WWW服务的重定向 打开管理工具中的In

ReentrantLock和synchronized两种锁定机制

ReentrantLock和synchronized两种锁定机制 应用synchronized同步锁 把代码块声明为 synchronized,使得该代码具有 原子性(atomicity)和 可见性(visibility). 原子性意味着一个线程一次只能执行由一个指定监控对象(lock)保护的代码,从而防止多个线程在更新共享状态时相互冲突. 可见性类似volatile关键字. 应用ReentrantLock显示锁 ReentrantLock 类实现了 Lock ,它拥有与 synchronize

Android三种网络通讯方式及Android的网络通讯机制_Android

Android平台有三种网络接口可以使用,他们分别是:java.net.*(标准Java接口).Org.apache接口和Android.net.*(Android网络接口).下面分别介绍这些接口的功能和作用. 1.标准Java接口 java.net.*提供与联网有关的类,包括流.数据包套接字(socket).Internet协议.常见Http处理等.比如:创建URL,以及URLConnection/HttpURLConnection对象.设置链接参数.链接到服务器.向服务器写数据.从服务器读取