端口隔离技术的灵活运用--分层端口隔离

一背景分析

隔离广播域,防止arp攻击我们通常的方法有两种,一种是vlan,另外一种是端口隔离技术,这两种方法各有自己的特点与优势。

端口隔离技术在实际组网中应用十分广泛,再接入层使用端口隔离技术能有效的阻断各个端口之间的二,三层流量。能够有效的防治arp攻击。但是端口隔离具有本地性不同交换机相同vlan端口隔离就起不到限制的作用,广播报文还是能够发送给其他交换机的所有端口。

Vlan技术本身就能限制广播域,在接入层使用hybrid技术可以使一个端口属于一个vlan从而使这种方式能具有全局性,能更加有效的防治广播以及arp攻击,但是hybrid口复杂的标签转换过程会消耗交换机的资源从而使转发效率降低。

如何找到折中的方法?

二原理分析

经过对端口隔离以及arp报文转发的研究提出使用分层端口隔离技术,这种方法是一种折中的方案。在试验环境下已经得到验证。

首先我们应该了解端口隔离的具体作用---隔离组内的端口不能通信,隔离组外的同Vlan(包括thunk)的端口能和组内任意端口通信。

所谓分层端口隔离技术就是在接入交换机对用户隔离,在汇聚层对接入交换机隔离,同一个vlan之间通过本地代理arp互访,也可以不使用本地代理arp使同一个vlan达到完全隔离,不同网段之间通过vlan隔离,他们之间的arp请求通过网关三层接口完成。

实验拓扑图

三详细分析

vlan之间的arp请求过程以及广播限制区域

本vlan内的arp请求过程

此种方法说白了就是所有用户到网关的链路单独属于一个广播域,同一Vlan内的主机只能直接与网关通信,除非使用本地代理arp

不同vlan之间的arp请求过程

不同vlan之间的代理属于普通代理,通讯方式与一般情况并没有什么区别。

普通代理arp与本地代理arp

http://www.h3c.com.cn/Products___Technology/Technology/IPv4_IPv6_series/Other_technology/Technology_recommend/200812/623583_30003_0.htm

这种方法与端口隔离技术相比隔离的更加彻底,同时也不会像hybrid端口那样频繁的对标签进行操作。如果同网段内有通讯需求可以开启本地代理arp,如果没有需求可以关闭。这样也会减少网关设备对arp的相应所造成的资源消耗。

端口隔离技术的灵活运用--分层端口隔离,布布扣,bubuko.com

时间: 05-13

端口隔离技术的灵活运用--分层端口隔离的相关文章

关于MPLS和Vlan隔离技术的思考

??网络环境中,为了隔离和划分的网络,避免网络间的相互干扰和广播风暴,定义了多种形式的隔离方式.有基于硬件设备的隔离和网络协议的隔离,还有子网网段的隔离(子网掩码). ??MPLS和Vlan隔离,基于软件协议,有一定的硬件技术支持,带有这两种标签的数据包,在经过设备之前或之后,设备对协议本身做添加和删除标签的处理,以此区分不同网络数据在汇聚时的封包处理. 1.MPLS(多协议标签交换) ??介于二层和三层交换之间的标签,俗称2.5层交换(二层交换–>MAC地址交换,三层交换–>IP地址交换)

Hadoop YARN资源隔离技术

YARN对内存资源和CPU资源采用了不同的资源隔离方案.对于内存资源,它是一种限制性资源,它的量的大小直接决定应用程序的死活,因为应用程序到达内存限制,会发生OOM,就会被杀死.CPU资源一般用Cgroups进行资源控制,Cgroups控制资源测试可以参见这篇博文Cgroups控制cpu,内存,io示例,内存资源隔离除Cgroups之外提供了另外一个更灵活的方案,就是线程监控方案. 默认情况下YARN采用线程监控的方案控制内存使用,采用这种机制的原因有两点: 1.Java创建子进程采用了"for

程序员必知的六种隔离技术

为了将我们的应用部署到服务器上,我们需要为其配置一个运行环境.从底层到顶层有这样的运行环境及容器: 隔离硬件:虚拟机 隔离操作系统:容器虚拟化 隔离底层:Servlet容器 隔离依赖版本:虚拟环境 隔离运行环境:语言虚拟机 隔离语言:DSL 实现上这是一个请求的处理过程,一个HTTP请求会先到达你的主机.如果你的主机上运行着多个虚拟机实例,那么请求就会来到这个虚拟机上.又或者是如果你是在Docker这一类容器里运行你的程序的话,那么也会先到达Docker.随后这个请求就会交由HTTP服务器来处理

只有小于65535端口编程可以用,查看哪些端口被打开netstat -anp,nc命令,nmap命令

1024以下是系统保留的,从1024-65535是用户使用的 个人写的应用程序,尽量不要使用0到1024之间的端口号. 1024到65535我们编程可以用.这个不是Linux规定的,是socket规定的. 1.0~1023,这些端口有IANA分配和控制,可能的话,相同端口号就分配给TCP.UDP和SCTP的同一给定服务.如80端口被赋予web服务 2.1024~49151,这些端口不受IANA控制,不过由IANA登记并提供他们的使用情况清单,已方便整个群体.相同端口号也分配给TCP和UDP的同一

tomcat端口号被占用或者修改端口号的解决方法

一)修改端口号: 在tomcat文件中找到conf里面的server.xml 在tomcat解压后的文件中按照下图操作  打开该文件 文件打开后(如下图)Tomcat默认的8080 端口,系统默认的配置 将Tomcat服务器启动的端口修改为8081端口 这样就把原来的端口修改为8081端口,不过在修改配置文件(*.xml)后,Tomcat服务器要重新启动 修改之前的端口号: 修改之后的端口号: 重启后:访问Tomcat服务器也必须以新的访问端口去访问:http://localhost:8081/

netstat -ano,查看已占用端口,结束已被占用的端口,ntsd,关闭任务管理器杀不了的进程

cmd--回车,输入netstat -ano--回车,可以查看已占用的端口,记下端口的PID,然后打开任务管理器,点查看,选择列,勾选PID确定,找到对应的PID,结束进程,如果结束不了或者结束后还不起作用,就用ntsd命令 tomcat端口占用解决办法 如果之前端口没被占用,而后来被占用了,可以去到D:\tomcat-5.5.26\bin下执行shutdown.bat,这样占用的端口就被释放了 如果任务管理器结束不了进程,就用下边这个命令 cmd--回车,输入ntsd -c q -p PID-

华为刀片,IBM刀片服务器将外部EXT端口流量复制给内部INT端口的实现方法不同

如何在刀片服务器中将外部端口EXT的流量复制给内部INT端口用于采集DNS流量 (1)对于IBM刀片服务器的北电Nortel_32R1860交换模块112.4.20.12DNS抓包的问题已经搞定 经过摸索和测试,感觉北电的交换机模块不是采用镜像命令来实现复制流量(虽然有相应的port-mirroring monitor-port...命令,但并不生效),而应该是在相同vlan就可以复制流量,如果要把ext3的流量复制给int14,只要把ext3和int14放在同一个vlan11下,都不打tagg

ssh 端口转发实现外网 80 端口映射到内网 80 端口

开发中经常需要外网服务映射到本机内网服务的需要,便于调试. 以前都是同事帮着配,这两天自己也看了一下 ssh 端口转发. 同事分分钟钟搞定的事情,自己折腾了 2 天, 真是弱爆了. 最初老想不明白一件事,为什们外网服务器能够找到我的内网机器,现在才明白原来走的是 ssh 隧道. 需求我的内网机器  192.168.9.100, 我的阿里云外网 123.56.86.52,  现在需要所有对 123.56.86.52  80 端口的访问都映射到  192.168.9.100 的 80 端口. 显然 

arista 交换机镜像端口配置(将某一端口的数据转发到指定端口)

译文: 大致意思是将某些端口的数据发送到指定的端口. 原文如下 12.5.2.2 Mirror Port Configuration Port mirroring is the duplication of traffic from a set of source ports onto a destination port. A mirror session associates a set of source ports to a destination port. ? The monitor