码迷,mamicode.com
首页 > 其他好文 > 详细

网络设备配置与管理(华为)基础系列 20190328

时间:2019-03-28 21:48:15      阅读:195      评论:0      收藏:0      [点我收藏+]

标签:学习   协议   ESS   shutdown   ora   黑客   信息采集   max   ict   

一、交换机数据通信的过程:

 

我们以PING一个目标地址为例:

首先源地址发送给目标地址一个数据包(数据包中包含目标地址,源地址和网络协议ICMP进行封装);为了实现交换机的介质访问,需要对数据包中的目标地址和源地址进行通过ARP协议询问其IP地址;交换机通过ARP协议学习到了目标和源的IP地址,同时将学习到的IP地址和学习时间写入到交换机的MAC地址表中;最后可以实现目标地址和源地址选择性转发的功能。

 

MAC地址易造成MAC泛洪的攻击:

简言之,A访问B,但得不到B的MAC地址,于是乎交换机将MAC地址表数据广播一遍,泛洪给每一台设备中进行寻址。(一个接口最多允许学习4096个MAC地址)

黑客可以利用MAC协议的缺陷,不断发送伪造的MAC地址,伪造的MAC地址不断写入到交换机的MAC地址表中,因为MAC地址表中的条目迟早会学满,所以MAC地址表不得不发动泛洪,这样黑客就可以对泛洪的数据包进行分析,从而进行黑客攻击的信息采集。

 

 

二、交换机的端口安全

 

MAC有三种写入模式:

dynamic(会自我学习,有老化时间,需要手动设置);

static(手动添加MAC地址,没有老化时间);

security(前提是要在端口上开启端口安全,他具有自我学习的功能,但不会有老化时间,重启后会清除);

sticky(他具有自我学习的功能,不会有老化时间,且重启后不会清除)

 

开启端口安全:交换机进入接口后,port-security enable

设置端口最大绑定MAC地址数:port-security max-mac-num 最大地址数    //此条未设置时默认为最大绑定1条地址

设置端口的安全动作:port-security protect-action protect/restrict/shutdown(三种安全动作)    //当出现不信任的MAC地址时,会出现数据包的告警,丢弃,关闭端口。

 

设置port-security也不是能保证绝对安全的,如果交换机遇到断电重启,或者是端口关闭后又开启,其端口中的MAC地址还是会清空,重新学习。

 

设置端口安全的sticky模式:port-security mac-address sticky

删除sticky模式中的某一条MAC地址:undo port-security mac-address sticky 5489-980f-5907 vlan 1  //同理,不加undo可以实现手动添加条目

网络设备配置与管理(华为)基础系列 20190328

标签:学习   协议   ESS   shutdown   ora   黑客   信息采集   max   ict   

原文地址:https://www.cnblogs.com/lilywhite/p/10617884.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!