以太网交换安全
端口隔离 以太网中为了实现报文之间的二层隔离,通常使用 VLAN 技术实现二层广播域的隔离。 其实 VLAN 也有二层流量隔离的技术(MUX VLAN),但 MUX VLAN 只有一个 Separate VLAN ,无法满足更加灵活的应用场景。例如: 在该场景中,要求: PC1与PC2之间二层隔离三层互通 PC1和PC3之间二三层都隔离 VLAN3 的主机可以访问 VLAN2 的主机 此时,针对端口隔离,可以实现 同一VLAN 内端口之间的隔离,端口。 具体功能 端口隔离包括隔离类型和隔离模式 隔离类型又分为: 双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口不隔离。端口隔离只是针对同一台设备的端口隔离组成员,对于不同设备的接口无法实现。 单向隔离:顾名思义,充分不必要或必要不充分。 隔离模式分为: L2:二层隔离三层互通,隔离同一VLAN内的广播报文,不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为L2。 ALL:二层三层彻底隔离无法通信。 其中采用 L2 隔离模式时,类似于 VLAN 聚合技术,需要在 VLANIF 接口上使能 Proxy ARP 功能。 MAC地址表安全 MAC 地址表项类型包括动态、静态和黑洞 MAC 地址表项。针对这三种表项以及地址表的工作机制,可以对 MAC 地址表进行一些安全保护操作。 为了防止一些关键设备(如各种服务器或上行设备)被非法用户恶意修改其MAC地址表项,可将这些设备的MAC地址配置为静态MAC地址表项,因为静态MAC地址表项优先于动态 MAC地址表项,不易被非法修改。 为了防止无用MAC地址表项占用MAC地址表,同时为了防止黑客通过MAC地址攻击用户设备或网络,可将那些有着恶意历史的非信任MAC地址配置为黑洞MAC地址,使设备在收到目的MAC或源MAC地址为这些黑洞MAC地址的报文时,直接予以丢弃,不修改原有的MAC 地址表项,也不增加新的MAC地址表项。 为了避免MAC地址表项爆炸式增长,可合理配置动态MAC表项的老化时间, 以便及时删除MAC地址表中的废弃MAC地址表项。...