分享从零开始学习网络设备配置--任务6.1 实现计算机的安全接入

项目描述

       随着网络技术的发展和应用范围的不断扩大,网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境,其存在的网络安全隐患不断显现出来,如非人为的或自然力造成的故障、事故;人为但属于操作人员无意的失误造成的数据丢失或损坏;来自园区网外部和内部人员的恶意攻击和破坏。网络安全状况直接影响人们的学习、工作和生活,网络安全问题已经成为信息社会关注的焦点之一,因此需要实施网络安全防范。

        保护园区网络安全的措施包括诸如在终端主机上安装防病毒软件,保护终端设备安全;利用交换机的端口安全功能,防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击;利用IP访问控制列表对网络流量进行过滤和管理,从而保护子网之间的通信安全及敏感设备,防止非授权的访问;利用NAT技术从一定程度上为内网主机提供“隐私”保护;在网络出口部署防火墙,防范外网未授权访问和非法攻击;建立保护内部网络安全的规章制度,保护内网设备的安全。  本项目重点学习交换机端口安全功能、远程管理、访问控制列表、安全接入互联网、NAT以及防火墙等技术的配置与应用。

任务描述

       某公司构建了互联互通的办公网。为了防止公司内部用户将的IP地址冲突,防范来自公司内网的攻击和破坏,需要实现公司内网的安全防范措施。   新实施的公司内网安全规则是:为公司内每一位员工分配一个固定IP地址,针对PC1和PC2主机端口进行IP+MAC地址绑定,在接入交换机上配置端口安全功能,控制用户随意接入,保护网络安全;还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

任务要求

(1)实现计算机的安全接入,网络拓扑图如图

(2)计算机的IP地址、子网掩码和MAC地址,如表

(3)出于安全的考虑,在交换机的端口上配置端口安全,绑定计算机的MAC地址,防止非法计算机的接入。

知识准备

1.端口安全的概念 交换机的端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址后,定义之外的源MAC地址发送的数据包将被端口丢弃。

2.端口安全的配置 在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又叫MAC地址表,其中记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。

(1)配置端口安全动态MAC地址。 此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃。

华为的交换机缺省的动态MAC地址表项老化时间为300s,在系统视图下执行mac-address aging-time命令可修改动态MAC表项的老化时间。在实际的网络中不建议随意修改该老化时间。

(2)配置Sticky MAC地址。  在交换机的端口激活Port Security后,该端口上所学习到的合法的动态MAC地址被称为安全动态MAC地址,这些 MAC地址缺省不会被老化(在端口视图下使用port-security aging-time命令可设置动态安全 MAC地址的老化时间),然而这些 MAC地址表项在交换机重启后会丢失,因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成Sticky MAC地址,Sticky MAC地址表项在交换机保存配置后重启不会丢失。

任务实施

1.根据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源。

2.查看计算机的MAC地址。在计算机命令行输入ipconfig,查看MAC地址。

(1)查看PC1的MAC地址,如图

(2)查看PC2的MAC地址,如图

3.交换机的基本配置。

(1)交换机SWA的基本配置。

(2)交换机SWB的基本配置。

4.开启该交换机端口的端口安全,并绑定对应的MAC地址。

(1)在SWA的Ethernet0/0/1和端口Ethernet0/0/2端口,配置Sticky MAC地址。

(2)在SWB的GE0/0/1端口,配置端口安全动态MAC地址。

任务验收

1.在交换机SWA上使用display mac-address命令,查看交换机与计算机之间连接的端口,类型是否变为sticky。

2.测试计算机的互通性。

(1)通过ping命令,测试内部通信息的情况。使用PC1 ping PC2和PC3,可以看出,计算机之间可以互相通信。

(2)使用PC2计算机Ping PC3计算机,可以看出,计算机不可以互相通信。因为SWB的GE0/0/1端口将学习MAC地址的数量限制为1,当有多于1个PC机通过时,交换机发出告警,并关闭端口。

(3)使用命令查询GE0/0/1端口是否已经关闭。

(4)更换计算机,测试互通性。 把计算机PC1更换为计算机PC4,IP地址相同,MAC地址不同,连接到交换机Eth0/0/1端口上。可以看出,更换计算机后,MAC地址不同,计算机不能通信。

任务小结

(1)学习MAC地址的数量默认为1。

(2)学习到的MAC地址数达到限制后的保护动作有三个,默认为restrict。

(3)动态安全MAC地址表项默认不老化。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/49408.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

昇思25天学习打卡营第09天|使用静态图加速

MindSpore支持两种运行模式:动态图(PyNative模式)和静态图(Graph模式)。 动态图模式下,计算图的构建和计算同时发生,适合调试和开发,但不利于优化。 静态图模式下,计算…

【概率论】-2-概率论公理(Axioms of Probability)

上一篇文章我们学习了基本的概率论内容-排列组合,本次我们学习概率论公理的内容,正式开始计算概率,在开始前我们需要学习一些基本概念。 目录 一.样本空间和事件 1.样本空间 2.事件 3.交并补 二、概率公理 1.基本公理 2.对称差 2.布尔…

vuex的工作流程,模块化使用案例分享,及状态持久化

文章目录 一、Vuex 是什么?二、核心概念三、Vuex 的工作流程四、什么情况下我应该使用 Vuex?五、Vuex 的使用六、使用示例七、状态持久化1、手动利用HTML5的本地存储2、利用vuex-persistedstate插件2.1、安装2.2、配置 一、Vuex 是什么? Vue…

USART串口理论知识总结

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 USART串口理论知识总结 1、通讯的串行和并行1.串口采用发送数据代码并用printf重代码 1、通讯的串行和并行 1.串口采用发送数据代码并用printf重代码 #include <stdint.h…

GPT-4o mini 时代:开发者的机遇、挑战与经验共享

在当今科技飞速发展的时代&#xff0c;OpenAI 最新发布的 GPT-4o mini 模型以其卓越的性能和极具竞争力的价格&#xff0c;在技术领域掀起了一股热潮&#xff0c;引发了广泛的关注。对于广大开发者来说&#xff0c;这无疑是一个令人振奋的新契机。 GPT-4o mini 模型的诞生&…

【C++】流插入和流提取运算符重载

目录 前言ostream和istream自定义类型的流插入重载自定义类型的流提取重载解决私有问题日期类总接口 前言 我们在上一节实现日期类时&#xff0c;在输入和输出打印时&#xff0c;经常会调用两个函数&#xff1a; void Insert()//输入函数{cin >> _year;cin >> _mo…

放眼全局做好真正的IT系统架构

一、系统架构存在的问题 当再次复盘业务架构、应用架构、技术架构、数据架构时这些过程域时&#xff0c;发现公司的这些架构如同一盘散沙。 1、业务架构随意&#xff0c;想到什么做什么&#xff0c;想法一天一个&#xff0c;天马行空。要么就是信息不对称&#xff0c;不统一。…

【Java】/* 浅谈String(下) */

目录 一、字符串的不可变性 二、字符串的修改 三、StringBuilder和StringBuffer 四、面试题 一、字符串的不可变性 1. 如上图所示&#xff0c;String类的是被final修饰的类(不能被继承)&#xff0c;成员变量value值是一个被final修饰的字节型数组。 2. 以下图代码为例&…

JavaWeb笔记_Session

Session概述 Session是一种在服务端记录用户会话信息的技术 Session的创建和获取 /*** HttpServletRequest对象中的方法:* public HttpSession getSession()* 如果当前服务端没有session,那就在服务端新建一个session对象* 如果在服务端有这个session,那么就直…

Java企业微信服务商代开发获取AccessToken示例

这里主要针对的是企业微信服务商代开发模式 文档地址 可以看到里面大致有三种token&#xff0c;一个是服务商的token&#xff0c;一个是企业授权token&#xff0c;还有一个是应用的token 这里面主要有下面几个参数 首先是服务商的 corpid 和 provider_secret &#xff0c;这个可…

mysql常用函数五大类

mysql常用函数 1. 第一类&#xff1a;数值函数1.1 圆周率pi的值1.2 求绝对值1.3 返回数字的符号1.4 开平方&#xff0c;根号1.5 求两个数的余数1.6 截取正数部分1.7 向上取整数1.8 向下取整数1.9 四舍五入函数1.10 随机数函数1.11 数值左边补位函数1.12 数值右边补位函数1.13 次…

83. UE5 RPG 实现属性值的设置

在前面&#xff0c;我们实现了角色升级相关的功能&#xff0c;在PlayerState上记录了角色的等级和经验值&#xff0c;并在变动时&#xff0c;通过委托广播的形式向外广播&#xff0c;然后在UI上&#xff0c;通过监听委托的变动&#xff0c;进行修改等级和经验值。 在这一篇里&a…

鸿蒙开发仓颉语言【Hyperion: 一个支持自定义编解码器的TCP通信框架】组件

Hyperion: 一个支持自定义编解码器的TCP通信框架 特性 支持自定义编解码器高效的ByteBuffer实现&#xff0c;降低请求处理过程中数据拷贝自带连接池支持&#xff0c;支持连接重建、连接空闲超时易于扩展&#xff0c;可以积木式添加IoFilter处理入栈、出栈消息 组件 hyperio…

Mongodb的通配符索引

学习mongodb&#xff0c;体会mongodb的每一个使用细节&#xff0c;欢迎阅读威赞的文章。这是威赞发布的第95篇mongodb技术文章&#xff0c;欢迎浏览本专栏威赞发布的其他文章。如果您认为我的文章对您有帮助或者解决您的问题&#xff0c;欢迎在文章下面点个赞&#xff0c;或者关…

代理协议解析:如何根据需求选择HTTP、HTTPS或SOCKS5?

代理IP协议是一种网络代理技术&#xff0c;可以实现隐藏客户端IP地址、加速网站访问、过滤网络内容、访问内网资源等功能。常用的IP代理协议主要有Socks5代理、HTTP代理、HTTPS代理这三种。代理IP协议主要用于分组交换计算机通信网络的互联系统中使用&#xff0c;只负责数据的路…

开局一个启动器:从零开始入坑ComfyUI

前几天刷某乎的时候看到了一位大佬写的好文&#xff0c;可图 IP-Adapter 模型已开源&#xff0c;更多玩法&#xff0c;更强生态&#xff01; - 知乎 (zhihu.com) 久闻ComfyUI大名&#xff0c;决定试一下。这次打算不走寻常路&#xff0c;不下载现成的一键包了&#xff0c;而是…

let、var、const 的区别 --js面试题

作用域 ES5中的作用域有&#xff1a;全局作用域、函数作用域&#xff0c;ES6中新增了块级作用域。块作用域由 { } 包括&#xff0c;if 语句和 for 语句里面的 { } 也属于块作用域。 var 1.没有块级作用域的概念&#xff0c;但具有函数全局作用域、函数作用域的概念 {var a …

别再只知道埋头苦学python了!!学了python后月入1w不在话下,不准你还不知道!!!

在Python接单的过程中&#xff0c;掌握一些技巧、注意相关事项以及选择合适的接单平台是非常重要的 一、Python接单要注意哪些 报酬问题&#xff1a;在接单前&#xff0c;务必明确客户所说的报酬是税前还是税后&#xff0c;以避免后期产生纠纷。时间管理&#xff1a;不要与客户…

Nginx 如何处理 WebSocket 连接?

&#x1f345;关注博主&#x1f397;️ 带你畅游技术世界&#xff0c;不错过每一次成长机会&#xff01; 文章目录 Nginx 如何处理 WebSocket 连接&#xff1f;一、WebSocket 连接简介二、Nginx 处理 WebSocket 连接的基本原理三、配置 Nginx 支持 WebSocket 连接四、Nginx 中的…

【启明智显分享】甲醛检测仪HMI方案:ESP32-S3方案4.3寸触摸串口屏,RS485、WIFI/蓝牙可选

今年&#xff0c;“串串房”一词频繁引发广大网友关注。“串串房”&#xff0c;也被称为“陷阱房”“贩子房”——炒房客以低价收购旧房子或者毛坯房&#xff0c;用极度节省成本的方式对房子进行装修&#xff0c;之后作为精修房高价租售&#xff0c;因甲醛等有害物质含量极高&a…