北京软件网站开发青岛做网站的大公司有

北京软件网站开发,青岛做网站的大公司有,百度站长反馈中心,秦皇岛网站建设seo端口安全是用来限制交换机端口接入设备的一种技术#xff0c;核心目的是防止未经授权的设备随意接入局域网、占用网络资源#xff0c;甚至窃取数据。这里要先明确一个概念#xff1a;我们说的 “端口” 是交换机的物理端口#xff08;比如网线插的那个接口#xff09;核心目的是防止未经授权的设备随意接入局域网、占用网络资源甚至窃取数据。这里要先明确一个概念我们说的 “端口” 是交换机的物理端口比如网线插的那个接口不是电脑里的 TCP/UDP 端口比如 80、443 端口二者完全不同。端口安全的核心原理给交换机端口 “设门禁”你可以把交换机的每个物理端口想象成公司的一扇门门端口默认是 “敞开” 的任何设备员工插上网线就能接入网络存在安全隐患比如陌生人混进公司。端口安全就是给这扇门装门禁系统只有经过授权的设备登记过的员工才能进门非法设备会被拦在外面。这个 “门禁系统” 的判断依据就是设备的MAC 地址网络身份证全球唯一不能修改。补充MAC 地址为什么能当 “身份证”每台设备的网卡比如电脑的有线网卡、无线网卡出厂时都会被烧录一个唯一的 MAC 地址格式是XX:XX:XX:XX:XX:XX或XXXX.XXXX.XXXX。你可以在电脑上查Windows 用ipconfig /all找到 “物理地址”Linux 用ifconfig找到 “ether” 后面的字符。一、端口安全的核心作用限制接入设备数量比如设置某个交换机端口最多只能接 1 台设备别人再插其他设备就会被拒绝。绑定合法设备的 MAC 地址只允许指定 MAC 地址的设备比如你的电脑、打印机接入端口其他 MAC 地址的设备接入会被阻断。违规处理当有非法设备接入时交换机可以执行预设动作比如关闭端口、只发警告不阻断、丢弃非法设备的数据。二、端口安全的 3 种核心工作模式2. 粘性 MAC 模式自动登记 “门禁名单”3. 动态 MAC 学习模式临时登记 “门禁名单”三、 违规处理机制非法设备接入后交换机该怎么做当有未授权的设备插上网线交换机就会触发 “违规”这时候有 3 种处理方式安全性从低到高排序1. 静态 MAC 绑定模式手动登记 “门禁名单”原理管理员手动把合法设备的 MAC 地址一个个添加到端口的 “允许列表” 里。特点最严格、最安全但维护麻烦—— 如果换了设备必须手动更新 MAC 地址。适用场景固定不变的设备比如服务器、打印机、监控摄像头这些设备不会随便挪位置。缺点如果公司有 100 台电脑要手动录 100 个 MAC工作量很大。原理管理员开启功能后交换机端口会自动记录第一次接入的设备 MAC 地址并把这个 MAC 保存到配置里重启交换机也不会丢。特点兼顾 “方便” 和 “安全”—— 不用手动查 MAC设备插上去就自动登记之后只有登记过的 MAC 能接入。适用场景办公室电脑、家庭设备手机、平板、智能电视适合设备位置相对固定但偶尔会换的场景。举个例子你给家里交换机的Gi0/1口开了粘性 MAC第一次插了自己的笔记本交换机就会记下图本的 MAC下次你插室友的笔记本端口会直接拒绝因为室友的 MAC 没被登记。原理交换机端口会自动学习接入设备的 MAC但不会保存到配置里—— 交换机重启后之前学的 MAC 全清空端口又变回 “敞开” 状态。特点最方便但最不安全—— 相当于门禁系统 “临时记人重启就忘”。适用场景临时开会、设备临时接入的场景不能长期用否则和没开端口安全一样。protect静默丢弃行为直接丢弃非法设备发的数据但不关闭端口也不通知管理员。特点隐蔽性强非法设备不知道自己被拦截但管理员也不知道有非法接入。适用对安全性要求不高不想被打扰的场景比如家庭网。restrict告警丢弃行为丢弃非法设备数据同时向管理员发警告信息比如日志、弹窗但不关闭端口。特点既能拦截非法设备又能让管理员知道 “有人想蹭网”方便排查。适用中小型企业需要及时发现风险但不想随便关端口的场景。shutdown端口关闭行为直接关闭这个违规的端口端口状态变成err-disabled相当于断电同时发警告必须管理员手动恢复。特点安全性最高 —— 一旦有非法接入直接 “封门”杜绝风险。适用企业核心区域比如服务器机房、财务部门不允许任何非法设备接入。四、实验配置1.实验目的及步骤实验目的掌握交换机端口安全的基本配置实验步骤1. 配置S1的G0/0/1口的端口安全2. 使用PC1、PC2访问PC4查看S1的mac地址表3. 在S2设备上接入一台非法设备尝试访问PC44. 配置S1的G0/0/2口为安全静态mac5. 配置S1的G0/0/3口为sticky mac2.实验拓扑3.命令配置1. 配置S1的G0/0/1口的端口安全Huaweisys[Huawei]sysname S1[S1] interface GigabitEthernet 0/0/1[S1-GigabitEthernet0/0/1] port-security enable // 开启端口安全[S1-GigabitEthernet0/0/1] port-security max-mac-num 2 // 限制该端口最多学习2个MAC[S1-GigabitEthernet0/0/1]port-security protect-action shutdown // 当端口检测到有不匹配的设备尝试接入时采取关闭接口行动2.使用PC1、PC2访问PC4查看S1的mac地址表[S1] display mac-address//可以看到PC1和PC2的MAC地址已经学习到地址表里了3. 在S2设备上接入一台非法设备尝试访问PC4攻击者访问pc4执行设置的安全动作关闭接口4.配置S1的G0/0/2口为安全静态mac[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port-security enable //开启端口安全功能[S1-GigabitEthernet0/0/2]port-security mac-address sticky //开启粘贴MAC功能启用该命令后交换机接口会自动学习当前接入设备的 MAC 地址并将这些动态学习到的 MAC 地址转换为粘性安全 MAC 地址Sticky Secure MAC Address保存到运行配置中。[S1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1 //配置VLAN 1的安全静态MAC地址[S1-GigabitEthernet0/0/2]port-security max-mac-num 1 //限制最大学习数为1,即使没有进行通信也可以直接查看到G0/0/2上有MAC地址MAC地址已经被静态绑定到G0/0/2上了5. 配置S1的G0/0/3口为sticky mac[S1]int g0/0/3[S1-GigabitEthernet0/0/3]port-security enable[S1-GigabitEthernet0/0/3]port-security mac-add sticky[S1-GigabitEthernet0/0/3]port-security max-mac-num 1