I .端口隔离-端口隔离
1.网络要求
如图1所示,要求PC1和PC2不能互相访问,PC1和PC3可以互相访问,PC2和PC3可以互相访问。
2配置端口隔离功能。
#配置端口隔离模式为二层隔离三层互通。
魁地奇系统-视图
端口隔离模式l2
3#配置以太网0/0/1和以太网0/0/2的端口隔离功能。
魁地奇系统-视图
接口以太网0/0/1
端口隔离启用组1
放弃
接口以太网0/0/2
端口隔离启用组1
放弃
以太网0/0/3不需要加入端口隔离组,隔离组内的端口无法相互通信。
4查看当前配置
显示电流
#
sysname Quidway
#
接口以太网0/0/1
端口隔离启用组1
#
接口以太网0/0/2
端口隔离启用组1
#
接口以太网0/0/3
#
返回
验证配置结果:
PC1和PC2不能互相ping通,PC1和PC3可以互相ping通,PC2和PC3可以互相ping通。达到了需求。
第二,端口防环-端口安全
适用于华为交换机,可以防止下级环路,自动关闭下级有环路的端口。
华为系统观
#
环回检测使能在全局模式下,环路检测功能被使能。
#接口千兆以太网0/0/1
Loopback-detect action shutdown如果下级存在环路,请关闭该端口。
#接口千兆以太网0/0/2
环回检测操作关闭
#接口千兆以太网0/0/3
环回检测操作关闭
#
……
如何检测、识别和定位环路?详情见此:
https://wenku.baidu.com/view/1599b6a22cc58bd63086bd5d.html
三。港口安全-港口安全
在网络中,MAC地址是设备中不变的物理地址,控制MAC地址访问就控制了交换机的端口访问,所以端口安全也是MAC的安全。在交换机中,CAM(内容可寻址存储器)表,也称为MAC地址表,记录了连接到交换机的设备的MAC地址、端口号、vlan的对应关系。
(一)、MAC地址表分为三种
1.手动绑定的静态MAC地址表的优先级高于动态MAC地址表。
2.动态mac地址表,交换机在收到数据帧后会将源MAC学习到MAC地址表中。
3.黑洞MAC地址表,手动绑定或自动学习,用于丢弃指定的MAC地址。
(2)、MAC地址表管理命令
1.检查mac地址表。
华为显示mac地址
2.配置静态mac地址表
Mac地址静态5489-98c0-7e34千兆以太网0/0/1 vlan1将MAC地址绑定到接口g0/0/1在vlan1中有效。
3.配置黑洞mac地址表
mac-add
ress blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的为此mac时丢弃帧4、禁止端口学习mac地址,可以在端口或者vlan中禁止mac地址学习功能
禁止学习mac地址,并将收到的所有帧丢弃,也可以在vlan中配置
禁止学习mac地址,但是将收到帧以泛红方式转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
5、限制MAC地址学习数量,可以端口或者vlan中配置
交换机限制mac地址学习数量为9个,并在超出数量时发出告警,超过的MAC数量将无法被端口学习到,但是可以通过泛红转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
6、配置端口安全动态mac地址
此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃
protect Discard packets 丢弃,不产生告警信息
restrict Discard packets and warning 丢弃,产生告警信息(默认的)
shutdown Shutdown 丢弃,并将端口shutdown
在端口安全动态MAC地址中,配置如上的话,在g0/0/3端口学习到的第一个MAC地址设置为安全MAC地址,此外其他MAC地址在接入端口的话都不给予转发,在300s后刷新安全MAC地址表,并且重新学习安全MAC地址,(哪个MAC地址)先到就先被学到端口并设置为安全MAC地址,但是在交换机重启后安全MAC地址会被清空重新学习。
7、配置端口安全Sticky贴粘MAC地址
此功能与端口安全动态mac地址一直,唯一不同的是:粘贴MAC地址不会老化,切交换重启后依然存在,动态安全mac地址只能动态学到而安全粘贴MAC可以动态学习也可以手工配置。
查看粘贴MAC地址状态
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98d8-71d5 1 - - GE0/0/3 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
8、配置MAC地址防漂移功能
MAC地址漂移就是:在一个接口学习到的MAC地址在同一个vlan中的其他接口上也被学习到,这样后学习的MAC地址信息就会覆盖先学到的MAC地址信息(出接口频繁变动),这种情况多数为出现环路的时候发生,所以这个功能也可以用来排查和解决环路问题。
MAC地址防止漂移功能的原理是,在接口上配置优先级,优先级高的接口学习到的MAC地址不会在桶vlan的优先级低的其他接口上被学到,如果优先级相同那么可以配置不允许相同优先级的接口学习到同一个MAC地址。
配置完成后,当g0/0/2的MAC漂移到g0/0/3后,g0/0/3端口将被关闭。
查看MAC地址漂移记录命令:
9、配置丢弃全0的MAC地址报文功能
在网络中一些主机或者设备在发生故障时,会发送全源和目的MAC地址为全0的帧,可以配置交换机丢弃这些错误报文功能。
10、配置MAC地址刷新arp功能
mac信息更新后(如用户更换接入端口)自动刷新arp表项功能
11、配置端口桥接功能
正常情况下,交换机在收到源MAC地址和目的MAC地址的出接口为同一个接口的报文时,就认为该报文为非法报文,进行丢弃,但是有些情况下数据帧的源MAC和目的MAC地址又确实是同一个出接口,为了让交换机能够不丢弃这些特殊情况下的帧需要启用交换的端口桥功能,比如交换机下挂了不具备二层转发能力的HUB设备,或者下挂了一台启用了多个虚拟机的服务器,这样在这些下挂设备的下面的主机通信都是通过交换机的同一个接口收发的,所以这些帧是正常的帧不能丢弃。
