以太网交换安全

admin
admin
admin
0
文章
0
评论
2026-03-27 01:54:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了以太网交换安全的三项关键技术:端口隔离、MAC地址表安全与端口安全。端口隔离能在同一VLAN内限制设备间的二层通信;MAC地址表安全通过静态MAC、黑洞MAC等功能及相关配置命令,防止非法设备接入并限制学习数量;端口安全则通过设置最大MAC数和不同保护动作(如丢弃报文或关闭端口)来应对MAC地址泛洪攻击。文中还提供了具体的交换机配置命令示例。 综合评分: 85 文章分类: 网络安全,安全建设,解决方案

cover_image

以太网交换安全

原创

刘军军 刘军军

运维星火燎原

2025年6月18日 00:01 山西

一、以太网交换安全

1、端口隔离

  • PC1与PC2属于同一个VLAN ,但是要求在二层不能互通(但允许三层互通)。
  • PC1与PC3不管什么情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。

2、端口隔离技术概述

3、端口隔离技术原理

4、端口隔离配置命令

使能端口隔离:port-isolate enable [group group-id]设置隔离模式:port-isolate mode {l2 | all}配置单向隔离:am isolate interface-type interface-number验证:通过display port-isolate group查看隔离组端口,ping 测试验证互通性。

5、端口隔离配置举例

PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。

[Switch] vlan 2[Switch] port-isolate mode all[Switch] interface GigabitEthernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type access[Switch-GigabitEthernet0/0/1] port default vlan 2[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 [Switch] interface GigabitEthernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type access[Switch-GigabitEthernet0/0/2] port default vlan 2[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 [Switch] interface GigabitEthernet 0/0/3[Switch-GigabitEthernet0/0/3] port link-type access[Switch-GigabitEthernet0/0/3] port default vlan 2

6、MAC 地址表安全

表项类型:

  • 静态 MAC:手工配置,不老化,绑定接口后其他接口收到相同 MAC 报文会丢弃。
  • 动态 MAC:接口学习获得,可老化,设备重启丢失。
  • 黑洞 MAC:手工配置,丢弃源 / 目的 MAC 匹配的报文。

安全功能:

  • 禁止 MAC 学习:mac-address learning disable
  • 限制学习数量:mac-limit maximum max-num
  • 配置老化时间:mac-address aging-time aging-time

7、MAC地址表安全配置举例

实验要求:

  • 网络拓扑基本配置已完成,用户网络1属于VLAN 10,用户网络2属于VLAN 20。
  • 在Switch3上配置禁止学习来自用户网络1的MAC地址。
  • 在Switch3上配置限制用户网络2的MAC地址学习数量。

在接口视图下配置

# 在接口GE0/0/1上配置禁止MAC地址学习[Switch3-GigabitEthernet0/0/1] mac-address learning disable action discard#在接口GE0/0/2上配置限制MAC地址学习数量,超过阈值策略及告警[Switch3-GigabitEthernet0/0/2] mac-limit maximum 100 [Switch3-GigabitEthernet0/0/2] mac-limit alarm enable[Switch3-GigabitEthernet0/0/2] mac-limit action discard

在VLAN视图下配置

# 在VLAN 10上配置禁止MAC地址学习[Switch3-vlan10] mac-address learning disable#在VLAN 20上配置限制MAC地址学习数量与告警[Switch3-vlan20] mac-limit maximum 100 alarm enable

8、端口安全

  • 技术原理:限制接口 MAC 学习数量,将动态 MAC 转换为安全 MAC(安全动态、安全静态、Sticky MAC)。

  • 保护动作:

  • restrict:丢弃非法报文并告警。

  • protect:丢弃非法报文不告警。

  • shutdown:接口置为 error-down 并告警。

  • 配置命令:

  • 使能端口安全:port-security enable

  • 设置最大 MAC 数:port-security max-mac-num max-number

  • 配置 Sticky MAC:port-security mac-address sticky

9、端口安全配置举例:安全动态MAC

配置要求:

  • 在Switch1上部署端口安全。
  • GE0/0/1及GE0/0/2接口将学习MAC地址的数量限制为1。当该接口连接多台PC时,Switch1需发出告警,且要求此时接口依然能正常转发合法PC的数据帧。
  • GE0/0/3接口将学习MAC地址的数量限制为2,并且当学习到的MAC地址数超出接口限制数时,交换机需发出告警,并且将接口关闭。
[Switch1] interface GigabitEthernet 0/0/1[Switch1-GigabitEthernet 0/0/1] port-security enable[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict[Switch1] interface GigabitEthernet 0/0/2[Switch1-GigabitEthernet 0/0/2] port-security enable[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict[Switch1] interface GigabitEthernet 0/0/3[Switch1-GigabitEthernet 0/0/3] port-security enable[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown

10、端口安全配置举例:Sticky MAC

配置要求:

  • 在Switch上部署端口安全。将GE0/0/1~GE0/0/3都激活端口安全。
  • GE0/0/1及GE0/0/2接口都将学习MAC地址的数量限制为1,并将在这两个接口上学习到的动态安全MAC地址转换为Sticky MAC地址。
  • 对于GE0/0/3将学习MAC地址的数量限制为1,但是通过手工的方式为该接口创建一个sticky MAC地址表项,将该接口与MAC地址5489-98ac-71a9绑定。各接口违例惩罚保持缺省。
[Switch] interface GigabitEthernet 0/0/1[Switch-GigabitEthernet 0/0/1] port-security enable[Switch-GigabitEthernet 0/0/1] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/1] port-security mac-address sticky[Switch] interface GigabitEthernet 0/0/2[Switch-GigabitEthernet 0/0/2] port-security enable[Switch-GigabitEthernet 0/0/2] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/2] port-security mac-address sticky[Switch] interface GigabitEthernet 0/0/3[Switch-GigabitEthernet 0/0/3] port-security enable[Switch-GigabitEthernet 0/0/3] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky 5489-98ac-71a9 vlan 1

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:运维星火燎原 刘军军 刘军军《以太网交换安全》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
以太网交换安全 网络安全文章

以太网交换安全

文章总结: 本文详细介绍了以太网交换安全的三项关键技术:端口隔离、MAC地址表安全与端口安全。端口隔离能在同一VLAN内限制设备间的二层通信;MAC地址表安全通
03-270 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0