分享从零开始学习网络设备配置--任务6.1 实现计算机的安全接入

项目描述

       随着网络技术的发展和应用范围的不断扩大,网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境,其存在的网络安全隐患不断显现出来,如非人为的或自然力造成的故障、事故;人为但属于操作人员无意的失误造成的数据丢失或损坏;来自园区网外部和内部人员的恶意攻击和破坏。网络安全状况直接影响人们的学习、工作和生活,网络安全问题已经成为信息社会关注的焦点之一,因此需要实施网络安全防范。

        保护园区网络安全的措施包括诸如在终端主机上安装防病毒软件,保护终端设备安全;利用交换机的端口安全功能,防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击;利用IP访问控制列表对网络流量进行过滤和管理,从而保护子网之间的通信安全及敏感设备,防止非授权的访问;利用NAT技术从一定程度上为内网主机提供“隐私”保护;在网络出口部署防火墙,防范外网未授权访问和非法攻击;建立保护内部网络安全的规章制度,保护内网设备的安全。  本项目重点学习交换机端口安全功能、远程管理、访问控制列表、安全接入互联网、NAT以及防火墙等技术的配置与应用。

任务描述

       某公司构建了互联互通的办公网。为了防止公司内部用户将的IP地址冲突,防范来自公司内网的攻击和破坏,需要实现公司内网的安全防范措施。   新实施的公司内网安全规则是:为公司内每一位员工分配一个固定IP地址,针对PC1和PC2主机端口进行IP+MAC地址绑定,在接入交换机上配置端口安全功能,控制用户随意接入,保护网络安全;还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

任务要求

(1)实现计算机的安全接入,网络拓扑图如图

(2)计算机的IP地址、子网掩码和MAC地址,如表

(3)出于安全的考虑,在交换机的端口上配置端口安全,绑定计算机的MAC地址,防止非法计算机的接入。

知识准备

1.端口安全的概念 交换机的端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址后,定义之外的源MAC地址发送的数据包将被端口丢弃。

2.端口安全的配置 在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又叫MAC地址表,其中记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。

(1)配置端口安全动态MAC地址。 此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃。

华为的交换机缺省的动态MAC地址表项老化时间为300s,在系统视图下执行mac-address aging-time命令可修改动态MAC表项的老化时间。在实际的网络中不建议随意修改该老化时间。

(2)配置Sticky MAC地址。  在交换机的端口激活Port Security后,该端口上所学习到的合法的动态MAC地址被称为安全动态MAC地址,这些 MAC地址缺省不会被老化(在端口视图下使用port-security aging-time命令可设置动态安全 MAC地址的老化时间),然而这些 MAC地址表项在交换机重启后会丢失,因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成Sticky MAC地址,Sticky MAC地址表项在交换机保存配置后重启不会丢失。

任务实施

1.根据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源。

2.查看计算机的MAC地址。在计算机命令行输入ipconfig,查看MAC地址。

(1)查看PC1的MAC地址,如图

(2)查看PC2的MAC地址,如图

3.交换机的基本配置。

(1)交换机SWA的基本配置。

(2)交换机SWB的基本配置。

4.开启该交换机端口的端口安全,并绑定对应的MAC地址。

(1)在SWA的Ethernet0/0/1和端口Ethernet0/0/2端口,配置Sticky MAC地址。

(2)在SWB的GE0/0/1端口,配置端口安全动态MAC地址。

任务验收

1.在交换机SWA上使用display mac-address命令,查看交换机与计算机之间连接的端口,类型是否变为sticky。

2.测试计算机的互通性。

(1)通过ping命令,测试内部通信息的情况。使用PC1 ping PC2和PC3,可以看出,计算机之间可以互相通信。

(2)使用PC2计算机Ping PC3计算机,可以看出,计算机不可以互相通信。因为SWB的GE0/0/1端口将学习MAC地址的数量限制为1,当有多于1个PC机通过时,交换机发出告警,并关闭端口。

(3)使用命令查询GE0/0/1端口是否已经关闭。

(4)更换计算机,测试互通性。 把计算机PC1更换为计算机PC4,IP地址相同,MAC地址不同,连接到交换机Eth0/0/1端口上。可以看出,更换计算机后,MAC地址不同,计算机不能通信。

任务小结

(1)学习MAC地址的数量默认为1。

(2)学习到的MAC地址数达到限制后的保护动作有三个,默认为restrict。

(3)动态安全MAC地址表项默认不老化。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/382702.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

手写RPC-令牌桶限流算法实现,以及常见限流算法

为什么需要服务限流、降级 分布式架构下,不同服务之间频繁调用,对于某个具体的服务而言,可能会面临高并发场景。在这样的情况下,提供服务的每个服务节点就都可能由于访问量过大而引起一系列问题,比如业务处理耗时过长、…

px4ctrl里calculateControl的代码解析

px4ctrl的代码里将目标加速度转成飞控的rpy的calculateControl代码 LinearControl::LinearControl(Parameter_t &param) : param_(param) {resetThrustMapping(); } quadrotor_msgs::Px4ctrlDebug LinearControl::calculateControl(const Desired_State_t &des,const …

【Apache Doris】数据副本问题排查指南

【Apache Doris】数据副本问题排查指南 一、问题现象二、问题定位三、问题处理 本文主要分享Doris中数据副本异常的问题现象、问题定位以及如何处理此类问题。 一、问题现象 问题日志 查询报错 Failed to initialize storage reader, tablet{tablet_id}.xxx.xxx问题说明 查…

Linux下docker快速安装gitea

之前在服务器上装的gitlab来管理个人项目,但是gitlab服务启动后能明显感受到占用资源比较严重。最近服务器到期,换了个服务器还没来得及装gitlab,刚好最近接触到gitea,网上是这么说的 占用资源少,适合个人开发者&…

DeepFaceLive黄仙人高清模型416DFM

链接:https://pan.baidu.com/s/1b5nu23Z93bDcxgNyyR3KjA?pwdj8kz 提取码:j8kz 黄羿DF-5M-UDT416_320_80_80_26DFM

【ProtoBuf】通讯录实现(网络版)

Protobuf 还常用于通讯协议、服务端数据交换场景。那么在这个示例中,我们将实现一个网络版本的通讯录,模拟实现客户端与服务端的交互,通过 Protobuf 来实现各端之间的协议序列化。 需求如下: 客户端可以选择对通讯录进行以下操…

关于pycharm上push项目到gitee失败原因

版权声明:本文为博主原创文章,如需转载请贴上原博文链接:https://blog.csdn.net/u011628215/article/details/140577821?spm1001.2014.3001.5502 前言:最近新建项目push上gitee都没有问题,但是当在gitee网站进行了一个…

新生上大学提前去西藏旅游有什么要注意的,语言上该怎么办?

新生前往西藏旅游并提前适应大学生活是一次充满挑战与发现的旅程。在准备过程中,重要的是要对高原反应有所准备,了解其症状并采取预防措施,同时携带必要的防晒和保暖衣物以应对极端的气候条件。在交通和饮食方面,选择安全可靠的选…

第二证券:回购队伍持续扩容!这类公司行动

近期,上市公司密布发布回购方案,一些中期成果较好的公司赫然在列。除了发布正式的回购方案,部分上市公司控股股东、实践控制人、董事长、总经理提议回购公司股份。 绩优股活泼回购 7月23日晚,包括圣泉集团、中科三环、翔楼新材在…

IntelliJ IDEA 直接在软件中更新为最新版

当我们的 IDEA 工具许久没有更新,已经拖了好几个版本,想跨大版本更新,比如从2020.2.1 -> 2023.x.x 此时,我们菜单栏点击 Help -> Check for Updates… ,右下角会有提示更新,如下图: 点…

Unity Shader - 2024 工具篇

目录 IDE 工具建议 IDE工具 Sublime 3 大势所趋,但是Sublime 使用插件还是相当的不习惯 代码跳转 Go to definite IDE 工具建议 () what is the best ide for coding shaderlab - #4 by DaveAstator - Unity Engine - Unity Discussions​​​​​​​I IDE工…

大模型学习笔记 - LLM模型架构

LLM 模型架构 LLM 模型架构 1. LLM 核心模型 Transformer2. 详细配置 2.1 归一化方法2.2 归一化模块位置2.3 激活函数2.4 位置编码 2.4.1 绝对位置编码2.4.2 相对位置编码2.4.3 旋转位置编码 RoPE2.4.4 ALiBi位置编码 2.5 注意力机制 2.5.1 完整自注意力机制2.5.2 稀疏注意力机…

计算机技术基础 (bat 批处理)Note4

计算机技术基础 (bat 批处理)Note4 本节主要讲解一些 bat 批处理文件中的一些特殊符号,包括 , %, > 和 >>, |, ^, & 和 && 和 ||, " ", ,, ;, ()。 回显屏蔽符 回显屏蔽符 : 这个字符在批处理中的意思是关…

数据结构中的八大金刚--------八大排序算法

目录 引言 一:InsertSort(直接插入排序) 二:ShellSort(希尔排序) 三:BubbleSort(冒泡排序) 四: HeapSort(堆排序) 五:SelectSort(直接选择排序) 六:QuickSort(快速排序) 1.Hoare版本 2.前后指针版本 …

【Hot100】LeetCode—416. 分割等和子集

目录 题目1- 思路2- 实现⭐152. 乘积最大子数组——题解思路 3- ACM 实现 题目 原题连接:416. 分割等和子集 1- 思路 理解为背包问题 思路: 能否将均分的子集理解为一个背包,比如对于 [1,5,11,5],判断能否凑齐背包为 11 的容量…

Linux云计算 |【第二阶段】AUTOMATION-DAY2

主要内容: 部署GitLab、配置管理GitLab、CI/CD概述、Jenkins概述、部署Jenkins(初始化、拷贝插件) 一、GitLab概述 GitLab 是一个基于 Web 的 Git 仓库管理工具,它提供了一个集成的开发环境和代码管理平台。GitLab 不仅支持 Git…

便携式自动气象站:科技赋能气象观测

便携式自动气象站,顾名思义,就是一款集成了多种气象传感器,能够自动进行气象观测和数据记录的设备。它体积小巧、重量轻,便于携带和快速部署,可以在各种环境下进行气象数据的实时监测。同时,通过内置的无线…

keil单步调试需要点击多次

问题描述:在进行调试的时候,点击单步调试,总是需要点击好几次才可以运行到下一条语句。 我点击单步调试的时候,会在红色框内进行单步运行,也就是在汇编代码内单步执行。 解决办法: 关闭汇编窗口 就是这个小…

案例研究|柯尼卡美能达软件开发(大连)有限公司基于DataEase构筑内部数据可视化体系

柯尼卡美能达软件开发(大连)有限公司于2007年5月25日注册成立。公司以“洞悉在工作的人们真实情况,探寻他们的愿望,持续提供使人们更加幸福的服务”为使命,致力于系统品质测试服务、软件开发服务、IT安全服务、高级BPO…

SpringBoot缓存注解使用

背景 除了 RedisTemplate 外, 自Spring3.1开始,Spring自带了对缓存的支持。我们可以直接使用Spring缓存技术将某些数据放入本机的缓存中;Spring缓存技术也可以搭配其他缓存中间件(如Redis等)进行使用,将某些数据写入到缓存中间件…