一、mac綁定

十多年的巨野網(wǎng)站建設經(jīng)驗，針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。全網(wǎng)整合營銷推廣的優(yōu)勢是能夠根據(jù)用戶設備顯示端的尺寸不同，自動調(diào)整巨野建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設計，從而大程度地提升瀏覽體驗。成都創(chuàng)新互聯(lián)從事“巨野網(wǎng)站設計”,“巨野網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

交換機安全特性可以讓我們配置交換機端口，使得當具有非法MAC地址的設備接入時，交換機會自動關閉接口或者拒絕非法設備接入，也可以限制某個端口上大的MAC地址數(shù)

情景模擬（Cisco S3550）

在交換機上配置從f0/11接口上只允許MAC地址為00e0.fc01.0000的主機接入

S1(config)#int f0/11

S1(config-if)#shutdown

S1(config-if)#switch mode access//把端口改為訪問模式

S1(config-if)#switch port-security//打開交換機的端口安全功能

S1(confg-if)#switch port-security maximum 1//設置只允許該端口下的MAC條目大數(shù)量為1，即只允許一個設備接入

S1(config-if)#switch port-security violation shutdown

“switch port-securityviolation{protect|shutdown|restrict}”//命令含義如下：

lprotect;當新的計算機接入時，如果該接口的MAC條目超過大數(shù)量，則這個新的計算機將無法接入，而原有的計算機不受影響；

lshutdown;當新的計算機接入時，如果該接口的MAC條目超過大數(shù)量，則該接口將會被關閉，則這個新的計算機和原有的計算機都無法接入，需要管理員使用”no shutdown”命令重新打開；

lrestrcit;當新的計算機接入時，如果該接口的MAC條目超過大數(shù)量，則這個新的計算機可以接入，然而交換機將向發(fā)送警告信息。

S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//設置接入該端口要匹配的MAC地址

二、ARP綁定

ARP(Address Resolution Protocol，地址解析協(xié)議)是獲取物理地址的一個TCP/IP協(xié)議。某節(jié)點的IP地址的ARP請求被廣播到網(wǎng)絡上后，這個節(jié)點會收到確認其物理地址的應答，這樣的數(shù)據(jù)包才能被傳送出去。RARP(逆向ARP)經(jīng)常在無盤工作站上使用，以獲得它的邏輯IP地址。

使用ARP綁定可以有效的避免廣播，將ip地址與mac地址進行綁定，也可以防止本網(wǎng)段內(nèi)的其他主機假冒本機的ip地址來進行非法的活動

例：

Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1

配置局域網(wǎng)內(nèi)IP 地址129.102.0.1對應的MAC地址為00e0.fc01.0000，經(jīng)過VLAN1 經(jīng)過以太網(wǎng)端口Ethernet0/1

情景模擬（華為交換機）

在交換機上配置只允許ip地址為192.168.1.200，mac地址為00e0.fc01.0000的主機進行日常的遠程維護

acl number 2000

rule 10 permit source 192.168.1.200 0.0.0.0

rule 20 deny source any

user-interface vty 0 4

acl 2000 inbound

此時已經(jīng)設置只有ip地址為192.168.1.200的主機可以進行遠程訪問，此時要防止其他主機來盜用管理主機的ip地址來進行遠程訪問

arp static 192.168.1.200 00e0.fc01.0000

arp綁定之后，冒充管理主機ip地址的主機就無法進行遠程訪問了

三、vlan

可以實現(xiàn)交換機的各個端口之間兩兩互不通信，將每個端口放在不同的vlan中即可實現(xiàn)，可以用在寬帶接入中的每家每戶之間不能通信，但與上聯(lián)鏈路可以通信。

四、端口隔離

通過端口隔離特性，用戶可以將需要進行控制的端口加入到一個隔離組中，實現(xiàn)隔

離組中的端口之間二層、三層數(shù)據(jù)的隔離，既增強了網(wǎng)絡的安全性，也為用戶提供

了靈活的組網(wǎng)方案。

當聚合組中的某個端口加入到隔離組后，同一聚合組內(nèi)的其它端口，均會自動加入

隔離組中。

可以在二層和三層交換機上實現(xiàn)端口隔離

在二層交換機上只能創(chuàng)建一個隔離組，處在同一個隔離組的端口兩兩之間不能通信

例：（華為二層交換機）

1. 組網(wǎng)需求

小區(qū)用戶PC2、PC3、PC4分別與交換機的以太網(wǎng)端口Ethernet1/0/2、

Ethernet1/0/3、Ethernet1/0/4相連

交換機通過Ethernet1/0/1端口與外部網(wǎng)絡相連

小區(qū)用戶PC2、PC3和PC4之間不能互通

2. 組網(wǎng)圖

3. 配置步驟

# 將以太網(wǎng)端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔離組。

<Quidway> system-view

System View: return to User View withCtrl+Z.

[Quidway] interface ethernet1/0/2

[Quidway-Ethernet1/0/2] port isolate

[Quidway-Ethernet1/0/2] quit

[Quidway] interface ethernet1/0/3

[Quidway-Ethernet1/0/3] port isolate

[Quidway-Ethernet1/0/3] quit

[Quidway] interface ethernet1/0/4

[Quidway-Ethernet1/0/4] port isolate

[Quidway-Ethernet1/0/4] quit

[Quidway]

# 顯示隔離組中的端口信息。

<Quidway> display isolate port

Isolated port(s) on UNIT 1:

Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4

在三層交換機上可以創(chuàng)建多個隔離組，處在同一個隔離組的端口兩兩之間不能通信，但可以與其他隔離組中的端口通信

例：（華為 S3526）

1. 組網(wǎng)需求

小區(qū)用戶PC2、PC3、PC4分別與交換機的以太網(wǎng)端口Ethernet1/0/2、

Ethernet1/0/3、Ethernet1/0/4相連

交換機通過Ethernet1/0/1端口與外部網(wǎng)絡相連

小區(qū)用戶PC2和PC3之間不能互通，但都能與PC4互通

2. 組網(wǎng)圖

3. 配置步驟

# 將以太網(wǎng)端口Ethernet1/0/2、Ethernet1/0/3加入隔離組。

<Quidway> system-view

System View: return to User View withCtrl+Z.

[Quidway] am enable

[Quidway] interface ethernet1/0/2

[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3

[Quidway-Ethernet1/0/2] quit

# 由于在ethernet1/0/2已經(jīng)指明要隔離的端口是ethernet1/0/3，所以無需在端口ethernet1/0/3重復指明其隔離端口是ethernet1/0/2，ethernet1/0/3端口將會自動將端口ethernet1/0/2視為隔離端口

在三層交換機上不僅可以實現(xiàn)與二層交換機上相類似的端口隔離的功能還能實現(xiàn)端口與IP地址的綁定。端口和ip綁定，要求數(shù)據(jù)流量必須通過三層設備，如vlan間通信的時候就可以用到這項技術，但是如果數(shù)據(jù)流量沒有通過三層設備，如vlan內(nèi)部的通信，端口和ip綁定是沒有意義的

例：（華為 S3526）

1. 組網(wǎng)需求

vlan20的網(wǎng)關為交換機的Ethernet1/0/2端口

vlan30的網(wǎng)關為交換機的Ethernet1/0/3端口

交換機通過Ethernet1/0/1端口與外部網(wǎng)絡相連

vlan20內(nèi)的主機只允許IP地址為192.168.20.10的主機通過Ethernet1/0/2端口與外部通信

2. 組網(wǎng)圖

3. 配置步驟

# 修改端口類型

<Quidway> system-view

System View: return to User View withCtrl+Z.

[Quidway]interface Ethernet 1/0/2

[Quidway-Ethernet1/0/2]port link-type access

[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

[Quidway-Ethernet3/0/3]port link-type access

[Quidway-Ethernet3/0/3]quit

# 創(chuàng)建svi端口

[Quidway]vlan 20

[Quidway-vlan20]port Ethernet 1/0/2

[Quidway-vlan20]vlan 30

[Quidway-vlan30]port Ethernet 1/0/3

[Quidway-vlan30]quit

[Quidway]interface Vlanif 20

[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0

[Quidway-Vlanif20]interface Vlanif 30

[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

[Quidway-Vlanif30]quit

# 設置允許通過的主機

[Quidway] am enable

[Quidway] interface ethernet1/0/2

[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10

[Quidway-Ethernet1/0/2] quit

# 此時vlan20中能通過其網(wǎng)關的就只有192.168.20.10這臺主機了

五、ACL（二層、三層）

ACL（Access Control List，訪問控制列表）主要用來實現(xiàn)流識別功能。網(wǎng)絡設備為

了過濾數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的報文。在識別出特

定的報文之后，才能根據(jù)預先設定的策略允許或禁止相應的數(shù)據(jù)包通過。

ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類，這些條件可以是數(shù)據(jù)包的源地址、

目的地址、端口號等。

由ACL定義的數(shù)據(jù)包匹配規(guī)則，可以被其它需要對流量進行區(qū)分的功能引用，如

QoS中流分類規(guī)則的定義。

根據(jù)應用目的，可將ACL分為下面幾種：

基本ACL：只根據(jù)三層源IP地址制定規(guī)則。

高級ACL：根據(jù)數(shù)據(jù)包的源IP地址信息、目的IP地址信息、IP承載的協(xié)議類

型、協(xié)議特性等三、四層信息制定規(guī)則。

二層ACL：根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級、二層協(xié)議類

型等二層信息制定規(guī)則。

ACL在交換機上的應用方式

1. ACL直接下發(fā)到硬件中的情況

交換機中ACL可以直接下發(fā)到交換機的硬件中用于數(shù)據(jù)轉發(fā)過程中報文的過濾和

流分類。此時一條ACL中多個規(guī)則的匹配順序是由交換機的硬件決定的，用戶即使

在定義ACL時配置了匹配順序，該匹配順序也不起作用。

ACL直接下發(fā)到硬件的情況包括：交換機實現(xiàn)QoS功能時引用ACL、通過ACL過

濾轉發(fā)數(shù)據(jù)等。

2. ACL被上層模塊引用的情況

交換機也使用ACL來對由軟件處理的報文進行過濾和流分類。此時ACL規(guī)則的匹

配順序有兩種：config（指定匹配該規(guī)則時按用戶的配置順序）和auto（指定匹配

該規(guī)則時系統(tǒng)自動排序，即按“深度優(yōu)先”的順序）。這種情況下用戶可以在定義

ACL的時候指定一條ACL中多個規(guī)則的匹配順序。用戶一旦指定某一條ACL的匹

配順序，就不能再更改該順序。只有把該列表中所有的規(guī)則全部刪除后，才能重新

指定其匹配順序。

ACL被軟件引用的情況包括：對登錄用戶進行控制時引用ACL等。

例：（華為 S3526）

ACL 直接下發(fā)到硬件中

1. 組網(wǎng)需求

vlan20的網(wǎng)關為交換機的Ethernet1/0/2端口

vlan30的網(wǎng)關為交換機的Ethernet1/0/3端口

交換機通過Ethernet1/0/1端口與外部網(wǎng)絡相連

IP地址為192.168.20.10的主機MAC地址為1E-65-9D-2D-21-E2

IP地址為192.168.30.10的主機MAC地址為1C-65-9D-2D-21-E2

禁止192.168.20.10的主機與192.168.30.10的主機通信

2. 組網(wǎng)圖

3. 配置步驟

# 修改端口類型

<Quidway> system-view

System View: return to User View withCtrl+Z.

[Quidway]interface Ethernet 1/0/2

[Quidway-Ethernet1/0/2]port link-type access

[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

[Quidway-Ethernet3/0/3]port link-type access

[Quidway-Ethernet3/0/3]quit

# 創(chuàng)建svi端口

[Quidway]vlan 20

[Quidway-vlan20]port Ethernet 1/0/2

[Quidway-vlan20]vlan 30

[Quidway-vlan30]port Ethernet 1/0/3

[Quidway-vlan30]quit

[Quidway]interface Vlanif 20

[Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0

[Quidway-Vlanif20]interface Vlanif 30

[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

[Quidway-Vlanif30]quit

# 設置被禁止通信的主機

[Quidway]acl number 4000 match-order auto

[Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2

[Quidway-acl-link-4000]quit

[Quidway]packet-filter link-group 4000

例：（華為 S3526）

ACL 被上層模塊引用

1、需求

某個設備只允許管理員主機進行遠程訪問，假設管理員主機IP為192.168.2.100

2、配置

# 創(chuàng)建訪問控制列表

<Quidway> system-view

[Quidway] acl number 2000 match-order auto

[Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0

[Quidway-acl-basic-2000] rule deny source any

[Quidway-acl-basic-2000] quit

# 被上層模塊引用

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode none

[Quidway-ui-vty0-4] acl 2000 inbound

[Quidway-ui-vty0-4]quit

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前標題：實現(xiàn)端口安全的幾種機制-創(chuàng)新互聯(lián)
路徑分享：http://aaarwkj.com/article40/dsjeeo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設、網(wǎng)站改版、軟件開發(fā)、品牌網(wǎng)站建設、建站公司、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)