AI 助理
备案控制台
开发者社区 安全 文章 正文

端口安全配置示例

2025-06-05 64
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文介绍了一种通过端口安全功能提高用户接入公司网络安全性的方式。具体实现中,PC1、PC2 和 PC3 通过接入设备连接公司网络,Router 接口启用端口安全功能并限制 MAC 地址学习数量为接入用户数,防止外来设备访问网络。配置思路包括创建 VLAN 实现二层转发和配置端口安全功能。测试结果显示,替换 PC1 后的新设备无法访问网络,而原有设备(如 PC2 和 PC3)仍可正常通信。

组网需求

如图所示,用户PC1PC2PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Router的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。

配置思路

采用如下的思路配置端口安全:

1.配置VLAN,实现二层转发功能。

2.配置端口安全功能,实现学习到的MAC地址表项不老化。

操作步骤

创建VLAN,配置接口的链路类型,并配置IP

LSW2

<Huawei>sys
[Huawei]sys LSW2
[LSW2]vlan batch 10
[LSW2]interface GigabitEthernet0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 10
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]interface GigabitEthernet0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 10
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type trunk 
[LSW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 10
[LSW2-GigabitEthernet0/0/4]quit

LSW1

<Huawei>sys
[Huawei]sys LSW1
[LSW1]vlan batch 10
[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip add 192.168.10.1 24
[LSW1-Vlanif10]quit

PC1

PC2

PC3

配置端口安全功能

LSW1

[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port-security enable
[LSW1-GigabitEthernet0/0/1]port-security max-mac-num 3
[LSW1-GigabitEthernet0/0/1]port-security mac-address sticky
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]display mac-address sticky vlan 10
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98f6-76f9 10          -      -      GE0/0/1         sticky    -           
5489-984d-0e9d 10          -      -      GE0/0/1         sticky    -           
5489-9889-2c6c 10          -      -      GE0/0/1         sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3

测试把PC1替换后的PC是否可以连接到网络

新拓扑图

替换PC配置IP,配置的IP和PC1一致

验证

新增PC ping Vlanif接口,无法ping通

PC>ping 192.168.10.1
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC2、PC3 ping Vlanif接口,可以ping通

PC2 ping结果
PC>ping 192.168.10.1
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=32 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=63 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms
--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 32/50/63 ms
PC3 ping结果
PC>ping 192.168.10.1
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=62 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=31 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms
--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/49/62 ms
验证结果:PC1换成其他PC,无法访问公司网络。公众号同名
文章标签:
安全
网络虚拟化
测试技术
关键词:
端口示例
刘俊辉个人博客
目录
相关文章
众所周知
|
Java Android开发
Java Socket编程示例:服务器开启在8080端口监听,接收客户端连接并打印消息。
【6月更文挑战第23天】 Java Socket编程示例:服务器开启在8080端口监听,接收客户端连接并打印消息。客户端连接服务器,发送&quot;Hello, Server!&quot;后关闭。注意Android中需避免主线程进行网络操作。
众所周知
213 4
知孤云出岫
|
监控 索引
配置本地端口镜像示例(M:N)
1. 配置接口GE1/0/4~GE1/0/5为本地观察端口,负责向不同Server转发镜像报文。 2. 配置接口GE1/0/1~GE1/0/3为镜像端口,将经过镜像端口的流量复制到不同的本地观察端口。
知孤云出岫
128 1
知孤云出岫
|
监控 索引
配置本地端口镜像示例(1:N,配置观察端口组)
1. 配置接口GE1/0/2~GE1/0/4为本地观察端口,负责向不同Server转发镜像报文。 2. 配置接口GE1/0/1为镜像端口,将经过镜像端口的流量复制到不同的本地观察端口。 操作步骤
知孤云出岫
145 1
知孤云出岫
|
监控 索引
配置本地端口镜像示例(1:N,单个配置观察端口)
1:N镜像是指将单个镜像端口的报文复制到N个不同的观察端口,主要适用于将报文复制到不同监控设备进行分析处理的场合。 1:N镜像需要配置多个观察端口,连接不同的监控设备。观察端口有单个配置和批量配置两种方式,而且这两种方式可同时配置。观察端口组一般在1:N镜像时使用,既可以简化配置,还可以节约观察端口索引(一个观察端口组无论包含多少个端口,仅占用一个观察端口索引)。
知孤云出岫
118 1
知孤云出岫
|
运维 监控
配置本地端口镜像示例(1:1)
如图1所示,某公司行政部通过Switch与外部Internet通信,监控设备Server与Switch直连。 现在希望通过Server对行政部访问Internet的流量进行监控。
知孤云出岫
77 0
技术小胖子
|
C# Windows
WCF热门问题编程示例(3):WCF是否使用或者支持IOCP完成端口(整理补充)
技术小胖子
1095 0
科技探索者
|
网络虚拟化
H3C交换机基于端口VLAN的配置示例
科技探索者
2622 0
流水刀客6
|
3月前
|
网络协议 安全 应用服务中间件
云服务器怎么开启被关闭的端口?手把手教你开启端口
在使用云服务器时,若发现某些服务无法访问,可能是端口被关闭。本文介绍了端口关闭的原因、检查方法及开启步骤。原因包括初始设置限制、防火墙规则和外部网络策略;可通过netstat或ss命令检查端口状态,用ufw、iptables或firewalld调整防火墙规则。最后提供了解决常见问题的建议,确保端口正常开放并可供外网访问。
流水刀客6
777 9
流水刀客6
|
5月前
|
SQL 关系型数据库 MySQL
云服务器常用端口作用
了解云服务器常用端口的作用有助于高效管理资源、快速定位问题及更好地使用云服务。常见端口包括:21(FTP,文件传输)、22(SSH,远程连接Linux)、25(SMTP,发送邮件)、80(HTTP,网页服务)、110/143(POP3/IMAP,接收邮件)、443(HTTPS,加密网页)、1433(SQL Server)、3306(MySQL)、3389(RDP,远程访问Windows桌面)和8080(代理服务)。
流水刀客6
173 2
聚优云惠
|
12月前
|
弹性计算 应用服务中间件 Linux
阿里云服务器开放端口完整图文教程
笔者近期开发完成的服务端程序部署在阿里云的ECS云服务器上面,一些应用程序配置文件需要设置监听的端口(如Tomcat的8080、443端口等),虽然通过CentOs 7系统的的「防火墙」开放了对应的端口号,任然无法访问端口号对应的应用程序,后面了解到原来还需要设置云服务器的「安全组规则」,开放相应的端口权限,服务端的接口才能真正开放。
聚优云惠
2392 1
阿里云服务器开放端口完整图文教程

热门文章

最新文章

  • 1
    443端口:HTTPS通信的安全基石
  • 2
    安装和配置JDK、Tomcat、MySQL环境,以及如何在Linux下更改后端端口。
  • 3
    多项目分接口:在同一Tomcat下使用不同的端口号访问不同的项目。
  • 4
    Centos 7防火墙firewalld开放80端口
  • 5
    阿里云ECS Ubuntu 实例开放防火墙端口仍无法访问问题解决(安全组规则应用)
  • 6
    基于OHCI的USB主机 —— 批量端口复位代码
  • 7
    Shadowsocks多端口启用教程方法
  • 8
    检查端口号是否已启动
  • 9
    vos3000客户在设置服务器防火墙时需要打开哪些 VOS 应用端口
  • 10
    [20160418]修改oracle监听端口.txt
  • 1
    443端口:HTTPS通信的安全基石
    329
  • 2
    多项目分接口:在同一Tomcat下使用不同的端口号访问不同的项目。
    108
  • 3
    安装和配置JDK、Tomcat、MySQL环境,以及如何在Linux下更改后端端口。
    175
  • 4
    通过Infortress 端口穿透功能访问内网电脑部署的HTTP服务
    162
  • 5
    端口(Port)
    194
  • 6
    优化你的 REST Assured 测试:设置默认主机与端口、GET 请求与断言
    187
  • 7
    VM虚拟机全版本网盘+免费本地网络穿透端口映射实时同步动态家庭IP教程
    181
  • 8
    云服务器怎么开启被关闭的端口?手把手教你开启端口
    777
  • 9
    Idea启动SpringBoot程序报错:Veb server failed to start. Port 8082 was already in use;端口冲突的原理与解决方案
    150
  • 10
    如何在宝塔mysql修改掉3306端口
    284

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    就是要你懂负载均衡--lvs和转发模式