【学网攻】 第(8)节 -- 端口安全

发布时间:2024年01月25日

文章目录


前言

网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。

本课程博主将带领读者深入了解网络的基本原理、结构和运作方式,帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容,帮助读者掌握网络知识,提高网络素养。

通过学习本书,读者将能够更好地利用网络资源,提高工作效率,拓展人际关系,甚至是保护自己的网络安全。网络世界充满了无限的可能,希望本课程能够帮助读者更好地驾驭网络,享受网络带来的便利和乐趣。


一、端口安全是什么?

端口安全,也被称为Port Security,是一种网络安全技术,主要用于提升网络设备和系统的安全性。它的核心思想是将接口学习到的动态MAC地址转换为安全MAC地址,以此来限制未授权设备的接入。具体来说,有以下几种实现方式:

  • 安全动态MAC地址:默认情况下,接口只能学习到一个动态MAC地址,这个地址可以被转换为一个安全动态MAC地址。
  • 安全静态MAC地址:需要手动将每一个动态MAC地址配置成一个安全静态MAC地址,这种方式的安全性较高。
  • Sticky MAC地址:不需要人工收集用户的MAC地址,系统会自动识别合法用户,并将它们的MAC地址绑定为Sticky MAC地址,这样新来的数据包会被直接转发给绑定的MAC地址。

此外,端口安全还可以通过限制接口学习到的MAC地址的数量来防止MAC地址泛洪攻击,以及通过限制MAC地址表的容量来防止MAC地址表被填满。在实际应用中,端口安全可以用于接入层的设备,如交换机,以防止非法用户的接入;也可以用于汇聚层的设备,以控制接口的接入数量。

二、实验

1.引入

实验目的
掌握交换机的端口安全功能,控制用户的安全接入。?
背景描述
你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的?IP
地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP?地址,并
且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的
IP?地址是172.16.1.55/24,主机MAC?地址是00-06-1B-DE-13-B4。该主机连接在1?S3560
上边。?
实验设备?

2560-24PS(1台),Server(1台),PC(3台)

实验拓扑图

PC Serve配置

PC1:
IP  地址: 192.168.1.1
子网掩码: 255.255.255.0
网    关: 192.168.1.254
D  N  S :8.8.8.8
PC2:
IP  地址: 192.168.2.1
子网掩码: 255.255.255.0
网    关: 192.168.2.254
D  N  S :8.8.8.8
PC3:
IP  地址: 192.168.3.1
子网掩码: 255.255.255.0
网    关: 192.168.3.254   
D  N  S :8.8.8.8
Server:
IP  地址: 8.8.8.8
子网掩码: 255.255.255.0
网    关: 8.8.8.1 

MSW1配置

MSW1:
MSW1>en
MSW1#conf t
MSW1(config)#ip routing             //开启路由功能
MSW1(config)#int f0/4        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config)#int f0/1        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config-if)#int f0/4
MSW1(config-if)#ip add 192.168.3.254 255.255.255.0
MSW1(config-if)#int f0/1
MSW1(config-if)#ip add 192.168.4.254 255.255.255.0

MSW1(config)#int f0/2
MSW1(config-if)#sw mo acc
MSW1(config-if)#int f0/3
MSW1(config-if)#sw mo acc

MSW1(config)#int f0/2
MSW1(config-if)#switchport port-security     //开启端口安全
MSW1(config-if)#switchport port-security maximum 1   //最大链接数为1
MSW1(config-if)#switchport port-security violation sh    //违反模式为restrict
MSW1(config-if)#switchport port-security mac-address 0001.C998.A087    //制定MAC
MSW1(config)#int f0/3
MSW1(config-if)#sw po
MSW1(config-if)#sw po max 1
MSW1(config-if)#sw po vi sh
MSW1(config-if)#sw po mac 0060.3E5B.671B
 shutdown      //如果违反规则端口关闭

protect        //当违规时,只丢弃违规的数据流量,而且不会通知有流量违规

restrict        //当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知

PC的MAC地址的查询

实验验证

这个时候我们静态Mac已经做好了配置,而f0/2这个端口只能接入MAC地址为0001.C998.A087的设备,而其他的设备都会被down掉无法链接

PC1端口接入PC2实验成功


总结

今天的实验还有一部分没有做是为下一期做铺垫,希望大家认真看一下今天的实验,有问题的可以提出或者评论,看到会第一时间回复

文章来源:https://blog.csdn.net/2301_77362941/article/details/135832331
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。