1. 程式人生 > >端口隔離和端口安全

端口隔離和端口安全

ger 通信 提示 mac地址表 mat res mic 匯聚 接口

采用端口隔離功能,可以實現同一VLAN內端口之間的隔離

端口隔離 可以二層隔離 也可以三層隔離

[Huawei]port-isolate mode ?
all All
l2 L2 only

缺省情況下,端口隔離模式為二層隔離三層互通。

如果用戶希望同一VLAN不同端口下用戶徹底無法通信,則可以將隔離模式配置為二層三層均隔離即可。

S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2750、S5700LI、S5720LI、S5720S-LI、S5710-X-LI、S5700S-LI、S6720LI、S6720S-LI僅支持二層隔離三層互通。

[Huawei-GigabitEthernet0/0/2]port-isolate enable group 1 //將當前端口加入到端口隔離組1中

[Huawei-GigabitEthernet0/0/2]port-isolate enable group ?
INTEGER<1-64> Port isolate group-id //華為交換機默認最多支持64個端口隔離組

同一個端口隔離組中的PC機不能通信(二層不通信或二層三層都不通信)

配置註意事項:
S系列交換機均支持配置二層隔離三層互通模式。
S系列框式交換機均支持二層三層都隔離模式,S系列盒式交換機僅V100R006C05版本僅S2700SI、S2700EI不支持二層三層都隔離模式,V100R002及後續版本S1720、S2720、S2750EI、S5700LI、S5700S-LI不支持二層三層都隔離模式。
如果不是特殊情況要求,建議用戶不要將上行口和下行口加入到同一端口隔離組中,否則上行口和下行口之間不能相互通信。

端口安全

現網中有非法用戶對接入設備、匯聚交換機、核心交換機進行一個非法的操作

如何去防止非法用戶對接入設備或匯聚設備進行非法***

限制MAC地址的學習 並不是禁止學習(真正的禁學習 配置交換機接口的學習MAC地址上限)

接入層交換機的每個接口都開啟端口安全功能,並綁定接入用戶的MAC地址與VLAN信息,當有非法用戶通過已配置端口安全的接口接入網絡時,交換機會查找對應的MAC地址表,發現非法用戶的MAC地址與表中的不符,將數據包丟棄。
匯聚層交換機開啟端口安全功能,並設置每個接口可學習到的最大MAC地址數,當學習到的MAC地址數達到上限時,其他的MAC地址的數據包將被丟棄。

一臺交換機上分別接入了PC1 PC2 PC3三臺主機 PC1和PC2通信 PC1和PC3通信

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/-
5489-98d5-5aa8 10 - - Eth0/0/1 dynamic 0/-
5489-980b-759d 10 - - Eth0/0/3 dynamic 0/-

Total matching items on slot 0 displayed = 3

1.安全動態MAC地址
[Huawei-Ethernet0/0/1]port-security enable //開啟端口安全功能 MAC地址不老化 交換機仍然可以學習非法用戶的MAC地址

一臺交換機上分別接入了PC1 PC2 PC3三臺主機 開啟端口安全 PC1和PC3通信

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security - 默認情況下這個表項不會老化 配置老化時間
5489-980b-759d 10 - - Eth0/0/3 security - 重啟設備或斷開連接MAC地址都消失

Total matching items on slot 0 displayed = 2

MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/- 沒有老化

Total matching items on slot 0 displayed = 1

過了五分鐘 MAC地址表的變化 dynamic 學習到的表項沒有了

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-980b-759d 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

斷開e0/0/3接口的連接(MAC地址表沒有 重啟設備MAC地址表也沒有):

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -

Total matching items on slot 0 displayed = 1

交換機上接入了非法用記PC4 (5489-9859-09a1) 依然可以學到

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-9859-09a1 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

2.Sticky MAC地址

[Huawei-Ethernet0/0/3]port-security mac-address sticky //配置接口的端口安全 sticky mac方式

一臺交換機上分別接入了PC1 PC2 PC3三臺主機 PC1和PC2通信 PC1和PC3通信

[Huawei]display mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky - 不老化 手工保存後 重啟後表項存在
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky -

Total matching items on slot 0 displayed = 3

<Huawei>dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - 接口3斷開物理連接 表項存在

Total matching items on slot 0 displayed = 3

接口3上接入了非法用戶PC4(5489-9859-09a1)

<Huawei>dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - MAC地址表項沒有變 防止非法用戶的接入

Total matching items on slot 0 displayed = 3

3.安全靜態MAC地址(學習MAC地址上限默認是1 )

[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10
Error: Security MAC number or Sticky MAC number reach the upper limit. //MAC地址表學習的數目達到上限

配置下面這個命令之前一定要這個接口上沒有MAC地址表項 如果有,則提示上面錯誤

[Huawei-Ethernet0/0/1]port-security mac-address sticky
[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10 //配置端口安全 靜態綁定

無論配置上面這三個端口安全中的哪一種 如果有非法用戶接入 不會提示

[Huawei-Ethernet0/0/3]port-security protect-action ? //配置端口安全學習MAC地址後達到上限 告警
protect Discard packets //只丟棄源MAC地址不存在的報文,不上報告警。
restrict Discard packets and warning // 丟棄源MAC地址不存在的報文並上報告警。推薦使用restrict動作。
shutdown Shutdown //接口狀態被置為error-down,並上報告警。默認情況下,接口關閉後不會自動恢復,只能由網絡管理人員在接口視圖下使用restart命令重啟接口進行恢復。

[Huawei-GigabitEthernet0/0/1]port-security enable
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 3 //配置當前接口學習MAC地址數目上限為3

端口隔離和端口安全