以太网安全
前言:
- 端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的二层数据的隔离
- 端口安全是一种在交换机接入层实施的安全机制,旨在通过控制端口的MAC地址学习行为,确保仅授权设备能够接入网络,并防御常见的二层攻击
端口隔离
传统以太网中,所有设备处于同一广播域,广播帧(如ARP请求)会被泛洪到所有端口,导致广播风暴风险,尤其在设备密集场景(如校园网、数据中心)可能引发网络拥塞
在一些共享环境中需防止用户间互访引发攻击(如ARP欺骗、横向渗透)等,于是便诞生了端口隔离
简单来说,端口隔离就是通过限制二层直接通信,在保障必要连通性的同时,解决了广播风暴、安全风险及资源浪费等问题
概况:
端口隔离(Port Isolation)是一种在交换机上实现的网络技术,通过限制同一设备上不同端口之间的二层直接通信(如数据链路层帧转发),仅允许其与指定上行端口(如网关、核心交换机或服务器)通信,从而实现网络流量的精细化控制
二层通信阻断:
交换机通过配置隔离组(Isolation Group),将多个端口划分到同一组内
组内端口之间无法直接传输单播、组播或广播帧(如ARP请求、ICMP报文等)
如端口A和端口B加入组1 ————无法互访
端口C加入组2——可以与A B互访
上行端口(Uplink Port):
隔离组内的所有流量必须通过指定的上行端口(如连接网关或核心交换机的端口)进行转发
上行端口与其他端口之间通信不受限制,可作为组内设备访问外部网络的唯一出口
隔离类型:
单向隔离:允许A→B通信,但禁止B→A,可以实现不同端口隔离组的接口之间的隔离,(如监控端口仅接收数据,不主动发送)
双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离
隔离模式:
二层隔离模式(L2)隔离同一VLAN内的广播报文
三层隔离模式(L3)同一VLAN的不同端口下用户二三层彻底隔离无法通信
示例:
-
用户A(端口1)尝试访问用户B(端口2):
-
交换机检查端口1和端口2是否属于同一隔离组。
-
若属于同一隔离组,直接丢弃数据包,阻断通信。
-
-
用户A(端口1)访问网关(上行端口24):
-
数据帧从端口1发送至上行端口24,交换机正常转发。
-
网关处理请求后,返回的流量通过上行端口24发回端口1,通信完成。
-
-
用户A(端口1)发送广播帧(如ARP请求):
-
广播帧仅泛洪到同一隔离组内的其他端口,而非全网广播
-
配置命令:
[Huawei]port-isolate mode {l2|all}
//l2仅二层隔离,all为L2+L3隔离
[Huawei-GigabitEthernet0/0/1]port-isolate enable [group <group-id>]
//加入隔离组
[Huawei-Ethernet0/0/2]am isolate interface <目标接口>
//单向隔离 阻断本端口到目标端口的流量 仅支持l2隔离
[Huawei] port-isolate mode l2
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-isolate enable group 1
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port-isolate enable group 1
[Huawei-Ethernet0/0/2] am isolate Ethernet0/0/3
黑洞MAC
MAC地址表记录了交换机学习到的MAC地址与接口的对应关系,以及接口所属VLAN等信息
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃
端口安全
随着网络规模的扩大和接入设备的多样化,网络面临诸多安全威胁,如非法设备接入、MAC地址欺骗、MAC泛洪攻击等。传统的基于IP或端口的访问控制(如ACL)难以应对动态变化的接入设备,尤其是在企业内网、物联网(IoT)等场景中,如何确保合法设备的安全接入成为关键需求,于是便产生了端口安全
端口安全(Port Security)是根据MAC地址对网络流量进行控制和管理的安全功能,其核心目标是通过控制交换机端口的MAC地址学习行为
概况:
端口安全功能不仅将MAC地址与端口绑定,还可以限制端口学到的MAC地址的数量。它将端口学习到的动态MAC地址转换为安全MAC地址后,端口只允许源MAC地址在安全MAC地址列表里的报文通过,源MAC地址不在安全MAC地址列表里的报文被认为非法的用户报文
安全MAC地址的类型:
安全静态MAC | 管理员手动配置允许访问端口的MAC地址列表,其他地址的流量将被阻断 | 不会被老化,手动保存配置后重启设备不会丢失 |
安全动态MAC | 端口自动学习首次连接设备的MAC地址,后续仅允许这些地址通信 | 设备重启后表项会丢失,需要重新学习 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化 老化类型分为绝对时间老化和相对时间老化 |
Sticky MAC | 动态学习的MAC地址会被转换为静态绑定,重启后仍生效 | 不会被老化,手动保存配置后重启设备不会丢失 |
超过MAC地址数量限制后
开启端口安全后,端口默认只能学习一个安全MAC,可以手工设置端口学习安全MAC数目。端口上安全MAC地址数达到限制后,如果收到源MAC地址是安全MAC列表里不存在的MAC地址,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对端口做保护处理违规处理机制(即保护处理)
原理:当检测到非法MAC地址(超出数量或未绑定)时,触发预定义的安全响应(只有三种)
模式 | 行为 |
---|---|
Shutdown | 关闭端口(需管理员手动启用),彻底阻断风险 |
Restrict | 丢弃非法流量并生成告警日志,合法流量正常转发 |
Protect | 静默丢弃非法流量,不记录日志(适用于高隐蔽性场景) |
配置命令:
[HUAWEI-GigabitEthernet0/0/1] port-security enable
在接口上开启端口安全
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1
配置MAC地址数量为1
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action shutdown
配置安全保护动作 缺省情况下,端口安全保护动作为restrict
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA
手工配置安全静态MAC地址表项
[Huawei-GigabitEthernet0/0/1] port-security aging-time time [type {absolute|inactivity}]
配置接口学习到的安全动态MAC地址的老化时间 默认不会老化
type后接老化模式 absolute绝对时间模式 inactivity空闲时间模式
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
开启接口Sticky MAC功能
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 1
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA
相关文章:
以太网安全
前言: 端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的二层数据的隔离端口安全是一种在交换机接入层实施的安全机制,旨在通过控制端口的MAC地址学习行为,确保仅授权设备能…...
linux如何查看当前系统的资源占用情况
在 Linux 系统中,有多个命令可以查看当前系统的资源占用情况。以下是一些常用的命令及其说明: 1. 查看内存使用情况:free free -h-h 参数表示以人类可读的格式显示(如 MB, GB)。输出示例: to…...
人脸识别系统(人脸识别、前后端交互、Python项目)
基于Flask、Face_Recognition的人脸识别系统 项目介绍 基于flask、face_recognition的人脸识别系统。 本项目采用Face_Recognition库内置的ResNet-34预训练模型,其已对LFW公开数据集进行预训练而得到的模型。利用ResNet-34预训练模型,可使用少量已知人…...
2025 ArkTS语言开发入门之前言(二)
2025 ArkTS语言开发入门之前言(二) 前言 在上一节,咱们学习了如何下载并安装ArkTS的集成开发环境,这时候有的臭宝会发现,左边的这些叽里咕噜的是什么?下面,我来带着臭宝们来学习一下这些是什么…...
VLAN(虚拟局域网)
一、vlan概述 VLAN(virtual local area network)是一种通过逻辑方式划分网络的技术,允许将一个物理网络划分为多个独立的虚拟网络。每一个vlan是一个广播域,不同vlan之间的通信需要通过路由器或三层交换机 [!注意] vlan是交换机独有的技术,P…...
2025.4.6总结
今日记录:今天玩的有些累,先是去护肤店护理了脸部,然后去汉口江滩那看了看美景,吹吹江风。节假日去玩,光是挤一个半小时地铁都感觉累。还好上下班期间不用挤地铁,不然还真受不了。 假期小结 1.消费&#…...
【清明折柳】写在扬马三周目后
黄绿之间,方寸之外。 文章目录 楔子解耦到离散螃蟹与毒药文本的力量朝花夕拾后记 楔子 “——就像物理学家通过演绎与归纳将宏微世界的运转规律浓缩到数学公式中时,如今的人工智能也在试图量化整个人类文明。” “——只是,使用的是昂贵、笨…...
P1258 小车问题(二分)
题目描述 甲、乙两人同时从 A 地出发要尽快同时赶到 B 地。出发时 A 地有一辆小车,可是这辆小车除了驾驶员外只能带一人。已知甲、乙两人的步行速度一样,且小于车的速度。问:怎样利用小车才能使两人尽快同时到达。 输入格式 仅一行&#x…...
一个基于ragflow的工业文档智能解析和问答系统
工业复杂文档解析系统 一个基于ragflow的工业文档智能解析和问答系统,支持多种文档格式的解析、知识库管理和智能问答功能。 系统功能 1. 文档管理 支持多种格式文档上传(PDF、Word、Excel、PPT、图片等)文档自动解析和分块处理实时处理进度显示文档解析结果预览批量文档…...
负指数二项式展开
转载:负指数二项式展开_二项式负数次幂的展开式-CSDN博客...
CentOS 7服务器上快速安装mamba函数库
本次预配置虚拟环境为cuda 11.8torch 2.2.2python 3.10 1. 创建conda虚拟环境:conda create -n mamba python3.10 激活环境:conda activate mamba 2. 安装Pytorch环境: conda install pytorch2.2.2 torchvision0.17.2 torchaudio2.2.2 py…...
ResNet改进(18):添加 CPCA通道先验卷积注意力机制
1. CPCA 模块 CPCA(Channel Prior Convolutional Attention)是一种结合通道先验信息的卷积注意力机制,旨在通过显式建模通道间关系来增强特征表示能力。 核心思想 CPCA的核心思想是将通道注意力机制与卷积操作相结合,同时引入通道先验知识,通过以下方式优化特征学习: 通…...
代码随想录算法训练营--打卡day6
一.四数相加 1.题目链接 454. 四数相加 II - 力扣(LeetCode) 2.思路 使用 HashSet 无法记录每种和出现的次数,当不同的 (nums1[i], nums2[j]) 组合得到相同的和时,会出现统计错误。这里应该使用 HashMap 来记录和以及其出现的…...
edge webview2 runtime跟Edge浏览器软件安装包双击无反应解决方法
软件安装报错问题有需要远程文章末尾获取联系方式,可以帮你远程处理各类安装报错。 一 、edge webview2 runtime跟Edge浏览器软件安装包双击无反应 在安装edge webview2 runtime跟Edge浏览器双击无反应没有出现安装界面。这个可能是 新版本的Edge WebView2 Runti…...
Xorg 内存上涨的根源探究
Xorg 内存上涨的根源探究 起因 在同一客户端进程内显示多股视频源,通过SDL创建窗口渲染,由于网络抖动视频源出现频繁断流现象导致,渲染任务反复重启,从而导致SDL渲染窗口反复创建释放,最后导致Xorg内存持续上涨 排查准备 Xorg是什么? Xorg(X.Org Server)是 X Wind…...
Neo4j基本命令使用
neo4j neo4j简介安装可视化管理后台登录 Cyphercreatematchmergecreate创建关系merge创建关系wheredelete sort命令字符串函数toUpper()函数toLower()函数substring()函数replace()函数 聚合函数count()函数max()函数min()函数sum()函数avg()函数索引index python 中使用neo4j …...
Python爬虫教程009:requests的基本使用以及get和post请求的使用
文章目录 5.1 基本使用5.2 get请求5.3 post请求5.1 基本使用 在 Python 爬虫开发中,requests 是一个非常流行、简单易用的 HTTP 库,用于发送网络请求。它可以让你方便地抓取网页内容、提交表单、上传文件等。 🔧安装: pip install requestsresponse的属性及类型: resp…...
SQL练习
目录 1.查询" 01 "课程比" 02 "课程成绩高的学生的信息及课程分数 2.查询平均成绩大于等于 60 分的同学的学生编号和学生姓名和平均成绩 3.查询在 SC 表存在成绩的学生信息 4.查询所有同学的学生编号、学生姓名、选课总数、所有课程的总成绩(没成绩的显…...
ubuntu20.04 复现fastlio2 并运行数据包
1.搭建文件目录和拷贝代码 mkdir -p Fastlio2/src cd Fastlio2/src git clone https://github.com/hku-mars/FAST_LIO.git git clone https://github.com/Livox-SDK/livox_ros_driver.git 2.到工作空间下编译 cd .. catkin_make 报错1: 解决方案1: …...
Windows安装 PHP 8 和mysql9,win下使用phpcustom安装php8.4.5和mysql9
百度搜索官网并下载phpcustom,然后启动环境,点击网站管理 里面就有php8最新版,可以点mysql设置切mysql9最新版,如果你用最新版无法使用,说明你的php程序不支持最新版的mysql MySQL 9.0 引入了一些新的 SQL 模式和语法变…...
【失配树 KMP+树上倍增】P5829失配树|省选-
本文涉及知识点 较难理解的字符串查找算法KMP 树上倍增 P5829 【模板】失配树 题目描述 给定一个字符串 s s s,定义它的 k k k 前缀 p r e k \mathit{pre}_k prek 为字符串 s 1 … k s_{1\dots k} s1…k, k k k 后缀 s u f k \mathit{suf}_…...
机器学习模型性能提升教程(特征工程和模型优化)
特征工程和模型优化是提升机器学习模型性能的核心步骤,以下从特征工程和模型优化两个维度,结合具体案例展开说明: 一、特征工程 特征工程的核心目标是从原始数据中提取更有价值的信息,常见方法包括特征选择、特征构造和特征转换。…...
跨域问题前端解决
由于浏览器的同源策略,前后端分离的项目,调试的时候总是会遇到跨域的问题,这里通过修改前端代码解决跨域问题。 首先先查看前端代码的根目录下,有没有vue.config.js文件, 若有,使用方法1,若没有此文件&…...
每天五分钟深度学习框架pytorch:搭建LSTM完成时间序列的预测
本文重点 前面一篇文章我们使用了pytorch搭建了循环神经网络LSTM然后完成了手写字体识别的任务,本文我们使用LSTM完成一个时间序列的任务。 数据集介绍 数据集如图所示,其中有一列是时间,然后还有一列是对应时间的起飞航班数,它可以看成是一个时间序列,通过前面t时间的起…...
Autosar应用层开发基础——Arxml制作
Davinci软件的主要作用 (1) AUTOSAR 软件架构设计 图形化建模:支持 SWC(Software Component)设计、接口定义、端口连接等。 分层架构管理:清晰划分 应用层(SWC) 和 基础软件层(BSW)…...
Word 页眉设置(不同章节不同页眉)
需求分析 要给文档设置页眉,但是要不同的页眉不同的页眉 问题点:一旦设置页眉 每个页眉都是一样的 现在要设置不一样的 设置了页眉但是整个文章的页眉都一样 问题解决 取消链接 前一节(不和前面的页眉同步更新) 小结 不同的…...
Redis的Java客户端的使用
Redis 的 Java 客户端使用 C 追求极致的性能, 而 Java没有这样的追求. Redis 在官网公开了所使用的应用层协议 (RESP). 任何一个第三方都可以通过这个协议, 来实现出一个和 Redis 服务器通信的客户端程序. 已经有很多大佬, 做好了库, 可以让我们直接调用 (不必关注 RESP 协议…...
双向链表示例
#include <stdio.h> #include <stdlib.h>// 定义双向链表节点结构体 typedef struct list {int data; // 数据部分struct list *next; // 指向下一个节点的指针struct list *prev; // 指向前一个节点的指针 } list_t;// 初始化链表,将链表的…...
Unity如何把一个物体下物体复制很多到别的物体下
C# 脚本批量复制 如果需批量复制到多个父物体下,推荐用脚本实现: using UnityEngine;public class CopyChildren : MonoBehaviour {// 原父物体(拖拽赋值)public Transform sourceParent;// 目标父物体数组(可拖拽多个…...
Java Properties 类详解
Java Properties 类详解 Properties 是 Java 中用于处理 键值对配置文件 的特殊类,继承自 Hashtable<Object,Object>。以下是其核心知识点: 1. 核心特性 特性说明存储格式纯文本文件(.properties),每行 keyval…...
进程内存分布--之理论知识
一个由C/C编译的程序占用的内存分为以下几个部分 : 1、栈区(stack):由编译器自动分配释放 ,存放函数调用函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。 2、堆区(heap…...
TDengine 窗口预聚集
简介 在大数据量场景下,经常需要查询某段时间内的汇总结果,当历史数据变多或者时间范围变大时,查询时间也会相应增加。通过预聚集的方式可以将计算结果提前存储下来,后续查询可以直接读取聚集结果,而不需要扫描原始数…...
高精度加法与乘法
原理就是模拟我们列竖式的过程。 一、加法 加法很简单,我们这里不再赘述 string solve(string s, string t) {string ans;int tmp 0;int n s.size()-1;int m t.size()-1;while(n>0||m>0||tmp){if(n>0){tmp s[n--]-0;}if(m>0){tmp t[m--]-0;}ans…...
macOS可视化桌面配置docker加速器
macOS可视化桌面配置docker加速器 在镜像settings->docker Engine改为国内镜像修改为国内镜像重启docker(可视化界面启动或者使用命令行)使用命令重启可视化界面重启 在镜像settings->docker Engine改为国内镜像 修改为国内镜像 {"registry-mirrors": ["…...
不用训练,集成多个大模型产生更优秀的输出
论文标题 Collab: Controlled Decoding using Mixture of Agents for LLM Alignment 论文地址 https://arxiv.org/pdf/2503.21720 作者背景 JP摩根,马里兰大学帕克分校,普林斯顿大学 动机 大模型对齐(alignment)的主要目的…...
【大模型】DeepSeek + 蓝耕MaaS平台 + 海螺AI生成高质量视频操作详解
目录 一、前言 二、蓝耘智能云MaaS平台介绍 2.1 蓝耘智算平台是什么 2.2 平台优势 2.3 平台核心能力 三、海螺AI视频介绍 3.1 海螺AI视频是什么 3.2 海螺AI视频主要功能 3.3 海螺AI视频应用场景 3.4 海螺AI视频核心优势 3.5 项目git地址 四、蓝耘MaaS平台DeepSeek海…...
RobotFrameWork环境搭建及使用
RF环境搭建 首先安装python并且配置python环境变量pip install robotframeworkpip install robotframework-ride 生产桌面快捷方式 不行换豆瓣源检查一下pip list RF类库和扩展库 标准库 按F5快捷键查询,可以看到rf自带的库不需要额外安装这些标准库在python的 …...
Flutter之设计与主题字体
目录: 1、共享主题样式2、文字3、使用自定义字体4、以 package 的方式使用字体1. 将字体添加到 package2. 将 package 和字体添加到应用3. 使用字体 1、共享主题样式 MaterialApp(title: appName,theme: ThemeData(// Define the default brightness and colors.col…...
发生梯度消失, 梯度爆炸问题的原因,怎么解决?
目录 一、梯度消失的原因 二、梯度爆炸的原因 三、共同的结构性原因 四、解决办法 五、补充知识 一、梯度消失的原因 梯度消失指的是在反向传播过程中,梯度随着层数的增加指数级减小(趋近于0),导致浅层网络的权重几乎无法更新…...
脑电学习笔记
一,原理简介 使用eprime或者matlab给被试呈现刺激,并在某个时间发送Mark,脑电帽会同步采集被试的脑电信号,经放大器放大后,控制盒会把脑电信号和mark 信号同步到一起,通过usb线传入到采集系统(比…...
Java面试黄金宝典37
1. 转发与重定向的区别 定义 转发:服务器内部的一种请求处理方式,当客户端向服务器发送请求后,服务器将该请求转发到另一个资源(如 JSP、Servlet)进行处理,整个过程在服务器端完成,客户端并不知道请求被转发,且使用的是同一个请求对象和响应对象。重定向:服务器向客户…...
嵌入式rodata段
在嵌入式软件开发中,将数据放入只读数据段(.rodata)具有以下好处及典型应用示例: 好处 数据保护 .rodata段的内容在程序运行时不可修改,防止意外或恶意篡改,提升系统稳定性。 节省RAM资源 只读数据可直接…...
Python学习之numpy
Python学习之numpy 数组是Numpy库的核心数据结构。 NumPy 是一个 Python 包。 它代表 “Numeric Python”。 它是一个由多维数组对象和用于处理数组的例程集合组成的库。 Numeric,即 NumPy 的前身,是由 Jim Hugunin 开发的。 也开发了另一个包 Numarr…...
ext4磁盘扩容
ext4扩容示例 当前虚机中,逻辑卷名称data_lv,卷组名称data_vg,物理卷名称data_pv,他们的大小都为100G,由于磁盘空间不够使用,申请扩容硬盘至200G,以下操作将ext4的/data分区扩容至200G。 # 1.…...
PostgreSQL 16深度解析(从16.0-16.8)
作为开源关系型数据库的标杆,PostgreSQL持续通过版本迭代展现其技术生命力。本文将以技术视角深度剖析PostgreSQL 16系列(16.0至16.8)的核心演进,重点解读新增功能、性能优化及实践价值,为数据库管理者与开发者提供升级…...
10个DeepSeek、ChatGPT提示词更快更好的学术文献阅读!
目录 AIGC助力快速阅读文献 10个文献阅读提示词 大家好这里是AIWritePaper官方账号,官网👉AIWritePaper~ AIGC助力快速阅读文献 在当今学术界,海量的论文如潮水般涌来,想要跟上最新研究进展简直比在图书馆里找到一本没被借走的…...
基于spring boot 鲜花销售系统PPT(源码+lw+部署文档+讲解),源码可白嫖!
课题意义 随着网络不断的普及发展,鲜花销售系统依靠网络技术的支持得到了快速的发展,首先要从用户的实际需求出发,通过了解用户的需求开发出具有针对性的信息管理系统,利用目前网络给用户带来的方便快捷这一特点对系统进行调整&am…...
Spring Boot 与 TDengine 的深度集成实践(三)
创建 RESTful API 编写控制器类 在 Spring Boot 项目中,控制器类负责处理 HTTP 请求,并将请求转发到相应的服务或数据访问层进行处理,最后返回响应结果给客户端。我们通过使用RestController和RequestMapping注解来定义控制器类和 API 路由…...
物理日志和逻辑日志
在 MySQL 的日志系统中,物理日志 和 逻辑日志 是两种不同类型的日志记录方式,它们的设计目标和实现方式有本质区别。以下是它们的详细解释和对比: 1. 物理日志 定义 物理日志记录的是数据页(Page)的物理修改&#x…...
[Deep-ML]Reshape Matrix(重塑矩阵)
Reshape Matrix(重塑矩阵) 题目链接: Reshape Matrix(重塑矩阵)https://www.deep-ml.com/problems/3 题目描述: 难度: easy(简单)。 分类: Linear Alg…...