端口隔离技术的灵活运用--分层端口隔离

一背景分析

隔离广播域,防止arp攻击我们通常的方法有两种,一种是vlan,另外一种是端口隔离技术,这两种方法各有自己的特点与优势。

端口隔离技术在实际组网中应用十分广泛,再接入层使用端口隔离技术能有效的阻断各个端口之间的二,三层流量。能够有效的防治arp攻击。但是端口隔离具有本地性不同交换机相同vlan端口隔离就起不到限制的作用,广播报文还是能够发送给其他交换机的所有端口。

Vlan技术本身就能限制广播域,在接入层使用hybrid技术可以使一个端口属于一个vlan从而使这种方式能具有全局性,能更加有效的防治广播以及arp攻击,但是hybrid口复杂的标签转换过程会消耗交换机的资源从而使转发效率降低。

如何找到折中的方法?

二原理分析

经过对端口隔离以及arp报文转发的研究提出使用分层端口隔离技术,这种方法是一种折中的方案。在试验环境下已经得到验证。

首先我们应该了解端口隔离的具体作用---隔离组内的端口不能通信,隔离组外的同Vlan(包括thunk)的端口能和组内任意端口通信。

所谓分层端口隔离技术就是在接入交换机对用户隔离,在汇聚层对接入交换机隔离,同一个vlan之间通过本地代理arp互访,也可以不使用本地代理arp使同一个vlan达到完全隔离,不同网段之间通过vlan隔离,他们之间的arp请求通过网关三层接口完成。

实验拓扑图

三详细分析

vlan之间的arp请求过程以及广播限制区域

本vlan内的arp请求过程

此种方法说白了就是所有用户到网关的链路单独属于一个广播域,同一Vlan内的主机只能直接与网关通信,除非使用本地代理arp

不同vlan之间的arp请求过程

不同vlan之间的代理属于普通代理,通讯方式与一般情况并没有什么区别。

普通代理arp与本地代理arp

http://www.h3c.com.cn/Products___Technology/Technology/IPv4_IPv6_series/Other_technology/Technology_recommend/200812/623583_30003_0.htm

这种方法与端口隔离技术相比隔离的更加彻底,同时也不会像hybrid端口那样频繁的对标签进行操作。如果同网段内有通讯需求可以开启本地代理arp,如果没有需求可以关闭。这样也会减少网关设备对arp的相应所造成的资源消耗。

端口隔离技术的灵活运用--分层端口隔离,布布扣,bubuko.com

时间: 2024-12-19 08:13:52

端口隔离技术的灵活运用--分层端口隔离的相关文章

Hystrix线程隔离技术解析-线程池(转)

认识Hystrix Hystrix是Netflix开源的一款容错框架,包含常用的容错方法:线程隔离.信号量隔离.降级策略.熔断技术. 在高并发访问下,系统所依赖的服务的稳定性对系统的影响非常大,依赖有很多不可控的因素,比如网络连接变慢,资源突然繁忙,暂时不可用,服务脱机等.我们要构建稳定.可靠的分布式系统,就必须要有这样一套容错方法. 本文主要讨论线程隔离技术. 为什么要做线程隔离 比如我们现在有3个业务调用分别是查询订单.查询商品.查询用户,且这三个业务请求都是依赖第三方服务-订单服务.商品服

端口隔离技术

什么是端口隔离? 端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源.采用端口隔离特性,可以实现同一VLAN内端口之间的隔离.用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离.端口隔离功能为用户提供了更安全.更灵活的组网方案. 配置实战:只能实现在同一vlan下面隔离通信,不同vlan不行 [HuiXing-core-backup]interface GigabitEthernet0/0/1 description TO-

关于MPLS和Vlan隔离技术的思考

??网络环境中,为了隔离和划分的网络,避免网络间的相互干扰和广播风暴,定义了多种形式的隔离方式.有基于硬件设备的隔离和网络协议的隔离,还有子网网段的隔离(子网掩码). ??MPLS和Vlan隔离,基于软件协议,有一定的硬件技术支持,带有这两种标签的数据包,在经过设备之前或之后,设备对协议本身做添加和删除标签的处理,以此区分不同网络数据在汇聚时的封包处理. 1.MPLS(多协议标签交换) ??介于二层和三层交换之间的标签,俗称2.5层交换(二层交换–>MAC地址交换,三层交换–>IP地址交换)

干货 | Docker文件系统的分层与隔离

现在就开始今天的分享~ M老师:docker 的很多特性都表现在它所使用的文件系统上,比如大家都知道docker的文件系统是分层的,所以它可以快速迭代,可以回滚.这个回滚机制跟github很像,每次提交的时候都会有一个id, 回滚就是跟据这个id来操作的. M老师:docker所支持的文件系统有以下几种:Aufs.devicemapper.btrfs和Vfs,其中前三种是联合文件系统,可以支持分层,VFS 不支持.平时用的最多的是aufs 和devicemapper. M老师:先介绍一下Aufs

Hadoop YARN资源隔离技术

YARN对内存资源和CPU资源采用了不同的资源隔离方案.对于内存资源,它是一种限制性资源,它的量的大小直接决定应用程序的死活,因为应用程序到达内存限制,会发生OOM,就会被杀死.CPU资源一般用Cgroups进行资源控制,Cgroups控制资源测试可以参见这篇博文Cgroups控制cpu,内存,io示例,内存资源隔离除Cgroups之外提供了另外一个更灵活的方案,就是线程监控方案. 默认情况下YARN采用线程监控的方案控制内存使用,采用这种机制的原因有两点: 1.Java创建子进程采用了"for

程序员必知的六种隔离技术

为了将我们的应用部署到服务器上,我们需要为其配置一个运行环境.从底层到顶层有这样的运行环境及容器: 隔离硬件:虚拟机 隔离操作系统:容器虚拟化 隔离底层:Servlet容器 隔离依赖版本:虚拟环境 隔离运行环境:语言虚拟机 隔离语言:DSL 实现上这是一个请求的处理过程,一个HTTP请求会先到达你的主机.如果你的主机上运行着多个虚拟机实例,那么请求就会来到这个虚拟机上.又或者是如果你是在Docker这一类容器里运行你的程序的话,那么也会先到达Docker.随后这个请求就会交由HTTP服务器来处理

端口扫描技术

目前主要的端口扫描技术有以下几种:1.TCP connect Scan(TCP连接扫描)这 种方法也称之为“TCP全连接扫描”.它是最简单的一种扫描技术,所利用的是TCP协议的3次握手过程.它直接连到目标端口并完成一个完整的3次握手过 程(SYN.SYN/ACK和ACK).操作系统提供的“connect()”函数完成系统调用,用来与目标计算机的端口进行连接.如果端口处于侦听状 态,那么“connect()”函数就能成功.否则,这个端口是不能用的,即没有提供服务.TCP连接扫描技术的一个 最大的优

80端口被屏蔽解决方法,80端口穿透之NAT端口映射技术

介绍一种NAT端口映射技术应用,达到80端口穿透目的,解决80端口被屏蔽的问题,也是80端口被屏蔽解决方法中经常用到的. 80端口穿透类似80端口转发,因为80端口被屏蔽,在数据层面来说是不能直接访问的,但通过端口转发后,在数据层是转发,用户访问是直接访问. 80端口穿透之NAT端口映射技术应用: 一,在局域网内启用nat123端口映射.添加映射.这一步虽然简单便很重要.映射时,外网地址使用自己的域名,外网端口直接写定是80端口. 二,映射后,访问下网站地址,不带端口的外网地址,是正常的.之后,

安全之路 —— 利用端口复用技术隐藏后门端口

简介 前面我们介绍到我们可以用进程注入的方法,借用其他应用的端口收发信息,从而达到穿墙的效果,那么今天介绍一种新的方法,叫做端口复用技术,他能够与其他应用绑定同一个端口,但同时进行端口复用的程序会接管之前程序的信息接受权,所以我们在复用端口后,要对非后门信息通过127.0.0.1本机回环地址进行消息转发. C++代码样例 ///////////////////////////////////////// // // FileName : ReUseSocket.cpp // Creator :