利用二层端口安全防止两个三层交换机长距离光纤线路被乱接测试

一.概述：

在论坛上看到有人想问通过什么方式来防止长距离的光纤线路被窃听，或连到其它非法交换机上，如是相同通过端口安全来实现防止乱接，于是登录机架进行测试，将测试结果记录下来。

论坛提问的链接：http://bbs.51cto.com/thread-1080361-1.html

----光纤线路，如果中间没有被恶意接入其他设备，应该很难窃听，因此觉得防窃听可以从防乱接方向入手。

二.基本思路：

A.假定交换机为三层交换机

B.如果两个交换机用三层口相连，并绑定对端IP所对应的mac，虽然可以防止接入三层设备，但是无法防止中间串接二层设备进行窃听。

C.通过主机之间的ipsec来加密流量，除非接线两端为路由器，否则两端连接交换机的主机太多的话，每台主机去配置IPsec不大可行。

-----高端的交换机没有玩过，一般普通的三层交换机貌似无法配置ipsec vpn

D.数据加密虽然是防窃听的最好方式，但是目前这种情况，貌似加密不容易实现

E.通过二层的安全来防止乱接：

---交换机相连的口采用access口，并且两端都配置VLAN的svi

---每个交换机保证用于互联的vlan只有一个互联接口

---三层交换机要开启路由转发，两个三层交换机互指路由（静态或默认），来实现交换机两边的PC互访

---配置互联端口的端口安全，只允许学习到2个mac，这样只有中间线路没有其他二层设备，当接入其他二层设备时，端口就会down，防止被监听

---本实验只是验证可行性，实际工作如果可能的话，还是建议用路由器互联，并配置ipsec。

三.测试拓扑：

四.基本配置：

A.R4：

interface FastEthernet0/0
ip address 20.1.1.4 255.255.255.0

no shut

no ip routing

ip default-gateway 20.1.1.1

B.SW1:

ip routing

interface FastEthernet0/4
switchport access vlan 20
switchport mode access

interface FastEthernet0/20
switchport access vlan 10
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky

interface Vlan10
ip address 10.1.1.1 255.255.255.252
interface Vlan20
ip address 20.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.1.1.2

C.SW2:

ip routing

interface FastEthernet0/5
switchport access vlan 30
switchport mode access

interface FastEthernet0/20
switchport access vlan 10
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky

interface Vlan30

ip address 30.1.1.1 255.255.255.0
interface Vlan100
ip address 10.1.1.2 255.255.255.252
ip route 0.0.0.0 0.0.0.0 10.1.1.1

D.R5:

interface FastEthernet0/1
ip address 30.1.1.5 255.255.255.0

no shut

no ip routing

ip default-gateway 30.1.1.1

五.验证：

R4#ping 30.1.1.5

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 30.1.1.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

R4#

R5#ping 20.1.1.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

R5#

sw1#show running-config interface f0/20
Building configuration...

Current configuration : 336 bytes
!
interface FastEthernet0/20
switchport access vlan 10
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0014.a80a.f716 vlan access
switchport port-security mac-address sticky 0014.a80a.f741 vlan access
end

sw2#show int f0/20 | in Hardware
Hardware is Fast Ethernet, address is 0014.a80a.f716 (bia 0014.a80a.f716)

sw2#show int vlan 10 | in Hardware
Hardware is EtherSVI, address is 0014.a80a.f741 (bia 0014.a80a.f741)

sw1#show mac address-table | in 0/20
10 0014.a80a.f716 STATIC Fa0/20
10 0014.a80a.f741 STATIC Fa0/20
sw1#

sw2#show running-config int f0/20
Building configuration...

Current configuration : 312 bytes
!
interface FastEthernet0/20
switchport access vlan 10
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 001a.a164.b216
switchport port-security mac-address sticky 001a.a164.b241
end

sw1#show int f0/20 | in Hardware
Hardware is Fast Ethernet, address is 001a.a164.b216 (bia 001a.a164.b216)
sw1#show int vlan 10 | in Hardware
Hardware is EtherSVI, address is 001a.a164.b241 (bia 001a.a164.b241)

sw2#show mac address-table | in 0/20
10 001a.a164.b216 STATIC Fa0/20
10 001a.a164.b241 STATIC Fa0/20

---因为机架无法默认中间加入其它二层设备，但是可以通过往互联接口所在vlan添加其他接口来测试，因为接口收到其他mac地址的包，接口会down。

本文转自碧云天 51CTO博客，原文链接：http://blog.51cto.com/333234/1318930，如需转载请自行联系原作者

利用二层端口安全防止两个三层交换机长距离光纤线路被乱接测试相关推荐

四、两个三层交换机互联
在"二.配置三层交换机"的基础上,再做一个相同的楼层结构前提条件:一定要确保"二.配置三层交换机"中各主机间都能互相ping通,才能操作下面在两个三层交换机 ...
利用SSH端口转发功能实现X转发
利用SSH端口转发功能实现X转发分类: Linux2012-08-22 13:13203人阅读评论(0)收藏举报 sshserverwindowsdoslinuxxp SSH协议中有X转发协议.在S ...
利用UDP19端口实施DOS攻击的真实案例
昨天在一个用户现场发现了一个利用UDP19端口对互联网受害者主机进行DOS攻击的真实案例.这个情况是我第一次见到,个人认为对以后遇到此类情况的兄弟具有参考价值.有必要做一个简单的分析记录. 在此次的分 ...
[云计算]交换机二层端口access、trunk、hybird的理解
目录一.概述二.access端口三.trunk端口四.hybird端口一.概述普通交换机的二层端口有三种常见的端口类型:access.trunk.hybird, access端口:一般用作 ...
什么是交换机？描述一下工作过程？交换机基本功能、交换机是如何转发数据包的，什么是三层交换机？和二层交换机有什么区别？三层交换机是否可以代替路由器？为什么？
** 14. 什么是交换机?描述一下工作过程? ** 交换机是一种工作在数据链路层对流量进行转发的网络设备.主要应用于延长传输距离,解决冲突域,实现单播等功能. ** 工作过程: **当流量进入交换机 ...
Android手机利用KSWEB+端口转发搭建PHP服务器
Android手机利用KSWEB+端口转发搭建PHP服务器转载来自:https://golthr.gitee.io/articles/202002281619/ KSWEB是一款基于Android的 ...
ML之FE：利用FE特征工程(分析两两数值型特征之间的相关性)对AllstateClaimsSeverity(Kaggle2016竞赛)数据集实现索赔成本值的回归预测
ML之FE:利用FE特征工程(分析两两数值型特征之间的相关性)对AllstateClaimsSeverity(Kaggle2016竞赛)数据集实现索赔成本值的回归预测目录输出结果设计思路核心代 ...
用ChatGPT处理word表格数据：直接采用ChatGPt和利用ChatGPT编写python脚本两种方法
目录摘要 0. 测试数据生成 1. 直接使用ChatGPT进行处理. 2 使用ChatGPT生成python脚本进行处理 3对比分析 4 结束语摘要为测试ChatGP在word文档表格的处理能力 ...
python argparse 和opencv模块的组合使用_如何利用Python3和OpenCV对比两张图片的不同，提取差异性...
如何利用Python3和OpenCV对比两张图片的不同,提取差异性导言:通过机器视觉来计算两个图片之间的差异性,可以快速有效辨别文件.图片是否被篡改,也能帮助用户轻松识别钓鱼网站,确保财产安全. 一 ...
华三H3C交换机配置端口聚合之二层端口静态和动态聚合
华三交换机配置端口聚合之二层端口聚合工作中常会遇到交换机配置端口聚合的场景,可以起到增加带宽和可靠性的要求.端口聚合可分为二层聚合和三层聚合,以及静态和动态聚合,下面主要介绍二层端口的静态和动态聚合 ...

利用二层端口安全防止两个三层交换机长距离光纤线路被乱接测试

利用二层端口安全防止两个三层交换机长距离光纤线路被乱接测试相关推荐

最新文章

热门文章