采用端口隔离功能,可以实现同一VLAN内端口之间的隔离
端口隔离 可以二层隔离 也可以三层隔离
[Huawei]port-isolate mode ?
all All
l2 L2 only
缺省情况下,端口隔离模式为二层隔离三层互通。
如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。
S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2750、S5700LI、S5720LI、S5720S-LI、S5710-X-LI、S5700S-LI、S6720LI、S6720S-LI仅支持二层隔离三层互通。
[Huawei-GigabitEthernet0/0/2]port-isolate enable group 1 //将当前端口加入到端口隔离组1中
[Huawei-GigabitEthernet0/0/2]port-isolate enable group ?
INTEGER<1-64> Port isolate group-id //华为交换机默认最多支持64个端口隔离组
同一个端口隔离组中的PC机不能通信(二层不通信或二层三层都不通信)
配置注意事项:
S系列交换机均支持配置二层隔离三层互通模式。
S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机仅V100R006C05版本仅S2700SI、S2700EI不支持二层三层都隔离模式,V100R002及后续版本S1720、S2720、S2750EI、S5700LI、S5700S-LI不支持二层三层都隔离模式。
如果不是特殊情况要求,建议用户不要将上行口和下行口加入到同一端口隔离组中,否则上行口和下行口之间不能相互通信。
端口安全
现网中有非法用户对接入设备、汇聚交换机、核心交换机进行一个非法的操作
如何去防止非法用户对接入设备或汇聚设备进行非法***
限制MAC地址的学习 并不是禁止学习(真正的禁学习 配置交换机接口的学习MAC地址上限)
接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。
一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信
[Huawei]dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/-
5489-98d5-5aa8 10 - - Eth0/0/1 dynamic 0/-
5489-980b-759d 10 - - Eth0/0/3 dynamic 0/-
Total matching items on slot 0 displayed = 3
1.安全动态MAC地址
[Huawei-Ethernet0/0/1]port-security enable //开启端口安全功能 MAC地址不老化 交换机仍然可以学习非法用户的MAC地址
一台交换机上分别接入了PC1 PC2 PC3三台主机 开启端口安全 PC1和PC3通信
[Huawei]dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 security - 默认情况下这个表项不会老化 配置老化时间
5489-980b-759d 10 - - Eth0/0/3 security - 重启设备或断开连接MAC地址都消失
Total matching items on slot 0 displayed = 2
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/- 没有老化
Total matching items on slot 0 displayed = 1
过了五分钟 MAC地址表的变化 dynamic 学习到的表项没有了
[Huawei]dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-980b-759d 10 - - Eth0/0/3 security -
Total matching items on slot 0 displayed = 2
断开e0/0/3接口的连接(MAC地址表没有 重启设备MAC地址表也没有):
[Huawei]dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 security -
Total matching items on slot 0 displayed = 1
交换机上接入了非法用记PC4 (5489-9859-09a1) 依然可以学到
[Huawei]dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-9859-09a1 10 - - Eth0/0/3 security -
Total matching items on slot 0 displayed = 2
2.Sticky MAC地址
[Huawei-Ethernet0/0/3]port-security mac-address sticky //配置接口的端口安全 sticky mac方式
一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信
[Huawei]display mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 sticky - 不老化 手工保存后 重启后表项存在
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky -
Total matching items on slot 0 displayed = 3
<Huawei>dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - 接口3断开物理连接 表项存在
Total matching items on slot 0 displayed = 3
接口3上接入了非法用户PC4(5489-9859-09a1)
<Huawei>dis mac-address
MAC address table of slot 0:
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - MAC地址表项没有变 防止非法用户的接入
Total matching items on slot 0 displayed = 3
3.安全静态MAC地址(学习MAC地址上限默认是1 )
[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10
Error: Security MAC number or Sticky MAC number reach the upper limit. //MAC地址表学习的数目达到上限
配置下面这个命令之前一定要这个接口上没有MAC地址表项 如果有,则提示上面错误
[Huawei-Ethernet0/0/1]port-security mac-address sticky
[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10 //配置端口安全 静态绑定
无论配置上面这三个端口安全中的哪一种 如果有非法用户接入 不会提示
[Huawei-Ethernet0/0/3]port-security protect-action ? //配置端口安全学习MAC地址后达到上限 告警
protect Discard packets //只丢弃源MAC地址不存在的报文,不上报告警。
restrict Discard packets and warning // 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
shutdown Shutdown //接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。
[Huawei-GigabitEthernet0/0/1]port-security enable
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 3 //配置当前接口学习MAC地址数目上限为3
原文地址:http://blog.51cto.com/6306952/2287414