当前位置：首页 > news >正文

HCIP--以太网交换安全（二）端口安全

news 2026/2/3 15:57:04

端口安全

一、端口安全概述

1.1、端口安全概述：端口安全是一种网络设备防护措施，通过将接口学习的MAC地址设为安全地址防止非法用户通信。

1.2、端口安全原理：

类型	定义	特点
安全动态MAC地址	使能端口而未是能Stichy MAC功能是转换的MAC地址。	设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。
安全静态MAC地址	是能端口安全时手工配置的静态MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换到的MAC 地址	不会老化，手动保存配置后重启设备不会丢失。

1.3、安全MAC地址通常与安全保护动作结合使用，常见啊安全保护动作有：

Restrict：丢弃源MAC地址不存在的报文并上告警。

Protect：只丢弃源MAC地址不存在的报文，不上报告警。

Shutdown：接口状态被置为error-down，并上报告警。

1.4、当端口安全功能或者Sticky MAC功能/去使能时，接口上的MAC变化如下：

（1）端口安全功能：

1）使能之后，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

2）去使能之后，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

（2）Sticky MAC地址功能

1）使能之后，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，之后学习到的MAC地址变为Sticky MAC地址；

2）去使能之后，接口上的Sticky MAC地址，会转换为安全动态MAC地址。

1.5、安全动态MAC地址的老化类型分为：绝对时间老化和相对时间老化。

假如设置老化时间为5分钟，则

1）绝对时间老化：系统每隔1分钟计算一次MAC的存在时间，若大于等于5分钟，则立即将该安全动态MAC地址老化，否则，等地啊1分钟在检测计算。

2）相对时间老化：系统每隔1分钟检测一次是否该MAC的流量，若没有流量，则经过5分钟后将该安全动态MAC地址老化。

二、端口安全配置

拓扑图：

实验要求：

将S1的G0/0/1接口学习MAC地址设置为安全动态MAC地址，限制MAC地址学习数量为2，超过的则将端口Shutdown；
将S10/0/2接口设置为安全静态MAC地址，限制学习数量为1；
将S0/0/3接口设置为sticky MAC地址，限制寻恶习数量为1

实验步骤：

（1）配置S1的G0/0/1口的端口安全

<Huawei>system-view

[Huawei]undo info-center enable

[Huawei]sys S1

[S1]int g0/0/1

[S1-GigabitEthernet0/0/1]port-security enable

[S1-GigabitEthernet0/0/1]port-security max-mac-num 2

[S1-GigabitEthernet0/0/1]port-security protect-action shutdown

[S1-GigabitEthernet0/0/1]quit

使用PC1、PC2访问PC4，再查看S1的mac地址表

PC1

PC2

在S2设备上接入一台非法设备，尝试访问PC4

可以发现时无法通信的，如果要恢复网络，需要处理攻击者，并且由管理员手动开启或者配置自动恢复功能，使用restart命令重启接口进行恢复。

（2）配置S1的G0/0/2口为安全静态mac

[S1]int g0/0/2

[S1-GigabitEthernet0/0/2]port-security enable

[S1-GigabitEthernet0/0/2]port-security mac-address sticky

[S1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1

[S1-GigabitEthernet0/0/2]port-security max-mac-num 1

[S1-GigabitEthernet0/0/2]q

查看MAC地址

可以发现PC3即使没有通信，其MAC地址也被静态绑定再该接口上，类型为Sticky，并且不会被老化。

（3）配置S1的G0/0/3口为sticky mac

[S1]int g0/0/3

[S1-GigabitEthernet0/0/3]port-security enable

[S1-GigabitEthernet0/0/3]port-security mac-address sticky

[S1-GigabitEthernet0/0/3]port-security max-mac-num 1

[S1-GigabitEthernet0/0/3]q

在没通信之前，交换机的MAC地址表并没有其它MAC地址对应。

在PC4上访问PC3

再次查看MAC地址表

三、总结：

端口安全是一种有效的网络安全措施，通过对网络接口上的设备进行身份验证和访问控制，帮助保护网络免受未授权访问和其他潜在威胁的影响。

HCIP--以太网交换安全（二）端口安全

端口安全一、端口安全概述 1.1、端口安全概述：端口安全是一种网络设备防护措施，通过将接口学习的MAC地址设为安全地址防止非法用户通信。 1.2、端口安全原理： 类型定义特点安全动态MAC地址使能端口而未是能Stichy MAC功能是转换的…...

编程日记 2024/10/12 0:58:48

在 Windows 11 安卓子系统中安装 APK 的操作指南

这个软件好像不可以在纯android系统中使用（不知道是缺了什么），其他对于android的虚拟机要不缺少必要功能组件，要不性能过于低下。本方法致力于在带有谷歌框架WSA中运行该APK 在 Windows 11 安卓子系统中安装 APK 的操作指南本指…...

编程日记 2024/10/12 0:57:46

[C语言] 函数详解：库函数与自定义函数

文章目录函数的概念库函数和自定义函数库函数使用库函数示例常用库函数及头文件自定义函数自定义函数的基本结构示例：实现两个数的求和函数自定义函数的好处函数的返回值有返回值的函数无返回值的函数函数的声明与调用声明函数在另一个文件中调用函数示例&#…...

编程日记 2024/10/12 0:55:43

0x11 科迈 RAS系统 Cookie验证越权漏洞

参考：科迈 RAS系统 Cookie验证越权漏洞 | PeiQi文库 (wgpsec.org)免责声明欢迎访问我的博客。以下内容仅供教育和信息用途：合法性：我不支持或鼓励非法活动。请确保遵守法律法规。信息准确性：尽管我尽力提供准确的信息，但不保证其完全准确或适用。使用前请自行验证。风…...

编程日记 2024/10/12 0:54:42

MoonBit 双周报 Vol.57：AI助手功能增强、表达式优先级调整、JS 交互优化、标准库与实验库API多项更新！

2024-10-08 IDE更新 AI Codelens支持 /generate 和 /fix 命令 /generate 命令能够提供一个通用的用以生成代码的聊天界面。 /fix 命令能够读取当前函数的错误信息给出修复建议。 MoonBit更新调整中缀表达式和if、match、loop、while、for、try表达式的优先级, 后者这些控制…...

编程日记 2024/10/12 0:53:41

element ui input textarea控制显示高度

样式代码 .testPage { position: absolute; left: 0; top: 0; right: 0; bottom: 0; display: flex; height: 100%; /* 控制输入框高度 */ .el-textarea { height: 90%; ::v-deep .el-textarea__inner { height: 90%; } } }...

编程日记 2024/10/12 0:51:39

Chromium 中chrome.downloads扩展接口c++

一、前端chrome.downloads 使用 chrome.downloads API 以编程方式启动、监控、操作和搜索下载内容。权限 downloads 您必须在扩展程序清单中声明 "downloads" 权限，才能使用此 API。 {"name": "My extension",..."permiss…...

编程日记 2024/10/12 0:50:37

微信小程序常见问题

一、编译报错 [ app.json 文件内容错误] app.json: 在项目根目录未找到 app.json 解决办法： 微信开发者工具中打开设置->安全设置->打开服务端口用HBuilder X打开小程序文件夹，点击“运行到小程序模拟器”，生成配置文件，…...

编程日记 2024/10/12 0:49:36

进程的理解

进程的理解目录： 什么是进程主要特征主要组成部分进程状态进程优先级 1.什么是进程概念： 在操作系统中，**进程（Process）**是一个正在执行的程序实例。可以将进程理解为一个动态的实体，它不仅包括静态…...

编程日记 2024/10/12 0:47:34

LeetCode494：目标和

题目链接：494. 目标和 - 力扣（LeetCode） 代码如下 class Solution { public:int findTargetSumWays(vector<int>& nums, int target) {int sum 0;for(int i 0; i < nums.size(); i){sum nums[i];}if(abs(target) > sum)…...

编程日记 2024/10/12 0:45:32

vue3中自定义校验函数密码不生效问题

vue3中自定义校验函数密码不生效问题由于在自定义的校验规则中只校验了有数据的情况，以至于在没输入时，校验不生效 （1）用户不输入校验不生效 const validateSurePassword (rule, value, callback) > {if (value ! ) {if (…...

编程日记 2024/10/12 0:44:31

RabbitMQ（死信队列）

一、本文抒写背景前面我也在延迟队列篇章提到过死信队列，也提到过一些应用场景！ 今天呢，这篇文章，主要就是实战一个业务场景的小Demo流程，哈哈，那就是延迟关闭订单。二、开始啦！letgo! 首…...

编程日记 2024/10/12 0:43:30

HTTP代理的优点和局限性

在这个信息爆炸的时代，网络已成为我们获取知识、交流思想、开展商务的重要平台。但随之而来的隐私泄露、网络安全威胁、以及无处不在的网络监控，却让我们的每一次在线活动都充满了风险。在这样的背景下，HTTP代理技术应运而生，它不…...

编程日记 2024/10/12 0:42:29

大厂面试真题-如果通过JVM自带的工具排查和解决线上CPU100%的问题

通过JVM自带的工具去定位和解决线上CPU 100%的问题，可以遵循以下步骤： 一、使用top和jps定位Java进程使用top命令： 在Linux服务器上执行top命令，查看所有进程的CPU使用情况。找到CPU使用率最高的进程，并记录其PID&a…...

编程日记 2024/10/12 0:37:25

kubernetes中微服务部署

微服务问：用控制器来完成集群的工作负载，那么应用如何暴漏出去？ 答：需要通过微服务暴漏出去后才能被访问 Service 是一组提供相同服务的Pod对外开放的接口借助Service，应用可以实现服务发现和负载均衡Service 默认只…...

编程日记 2024/10/12 0:35:22

基于 Java 的天气预报系统设计与实现

随着互联网的飞速发展，天气预报系统变得越来越重要。它可以帮助用户了解未来几天的天气情况，便于出行、活动安排。本文将介绍如何使用 Java 构建一个简单的天气预报系统，涉及系统架构设计、核心功能开发以及完整的代码实现。 1. 系统架构设计…...

编程日记 2024/10/12 0:34:21

思迅商云8前台打开提示上传日志信息失败

请按照以下步骤核实处理： 1、重启sql服务后测试。 2、请先备份前台安装目录，之后删除安装目录下的log文件和localdate下的log文件，之后重新打开软件，若依旧不行则说明前台文件有损坏，需要重新安装客户端，…...

编程日记 2024/10/12 0:33:20

webstorm的缩进设置(过度缩进解释)

在编写前端代码时缩进规范一般被认为是2个空格而非默认的4个空格当我们通过webstorm去编写前端代码时我们可以通过setting->Code Style->html/css/js指定的界面中去设置tab/indent/continuation indent 具体的话我们将html/css/js操作界面中的tab/indent设置为2个空…...

编程日记 2024/10/12 0:31:17

与ZoomEye功能类似的搜索引擎还有哪些？（渗透课作业）

与ZoomEye功能类似的搜索引擎有： Shodan：被誉为“物联网的搜索引擎”，专注于扫描和索引连接到互联网的各种设备，如智能家居设备、工业控制系统、摄像头、数据库等。它提供全球互联网设备的可视化视图，帮助用户了解网络…...

编程日记 2024/10/12 0:29:00

Java 计数排序

计数排序（Counting Sort）是一种非比较型排序算法，适用于一定范围内的整数排序。它的基本思想是通过计数输入元素中每个值出现的次数，然后计算每个值的起始位置，最终将元素放到正确的位置上。计数排序的时间复杂度为 O(…...

编程日记 2024/10/12 0:26:59

使用docker在3台服务器上搭建基于redis 6.x的一主两从三台均是哨兵模式

一、环境及版本说明如果服务器已经安装了docker,则忽略此步骤,如果没有安装,则可以按照一下方式安装: 1. 在线安装(有互联网环境): 请看我这篇文章传送阵>> 点我查看 2. 离线安装(内网环境):请看我这篇文章传送阵>> 点我查看说明：假设每台服务器已…...

编程新知 2026/2/2 21:19:46

conda相比python好处

Conda 作为 Python 的环境和包管理工具，相比原生 Python 生态（如 pip 虚拟环境）有许多独特优势，尤其在多项目管理、依赖处理和跨平台兼容性等方面表现更优。以下是 Conda 的核心好处： 一、一站式环境管理&#xff1a…...

编程新知 2025/11/29 6:54:19

k8s从入门到放弃之Ingress七层负载

k8s从入门到放弃之Ingress七层负载在Kubernetes（简称K8s）中，Ingress是一个API对象，它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress，你可…...

编程新知 2025/9/7 0:12:53

Unit 1 深度强化学习简介

Deep RL Course ——Unit 1 Introduction 从理论和实践层面深入学习深度强化学习。学会使用知名的深度强化学习库，例如 Stable Baselines3、RL Baselines3 Zoo、Sample Factory 和 CleanRL。在独特的环境中训练智能体，比如 SnowballFight、Huggy the Do…...

编程新知 2025/9/18 1:39:03

智能仓储的未来：自动化、AI与数据分析如何重塑物流中心

当仓库学会“思考”，物流的终极形态正在诞生想象这样的场景： 凌晨3点，某物流中心灯火通明却空无一人。AGV机器人集群根据实时订单动态规划路径；AI视觉系统在0.1秒内扫描包裹信息；数字孪生平台正模拟次日峰值流量压力…...

编程新知 2026/2/1 2:49:30

以光量子为例，详解量子获取方式

光量子技术获取量子比特可在室温下进行。该方式有望通过与名为硅光子学（silicon photonics）的光波导（optical waveguide）芯片制造技术和光纤等光通信技术相结合来实现量子计算机。量子力学中，光既是波又是粒子。光子本…...

编程新知 2026/1/30 10:30:45

PAN/FPN

import torch import torch.nn as nn import torch.nn.functional as F import mathclass LowResQueryHighResKVAttention(nn.Module):"""方案 1: 低分辨率特征 (Query) 查询高分辨率特征 (Key, Value).输出分辨率与低分辨率输入相同。"""def __…...

编程新知 2025/10/20 4:39:36