一、端口隔離--port-isolate
-
組網需求
如圖1所示,要求PC1與PC2之間不能互相通路,PC1與PC3之間可以互相通路,PC2與PC3之間可以互相通路。
-
配置端口隔離功能
# 配置端口隔離模式為二層隔離三層互通。
<Quidway> system-view
[Quidway] port-isolate mode l2
- # 配置Ethernet0/0/1和Ethernet0/0/2的端口隔離功能。
<Quidway> system-view
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port-isolate enable group 1
[Quidway-Ethernet0/0/1] quit
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port-isolate enable group 1
[Quidway-Ethernet0/0/2] quit
ethernet 0/0/3 無需加入端口隔離組,處于隔離組的各個端口間不能通信
- 檢視目前配置
disp cur
#
sysname Quidway
#
interface Ethernet0/0/1
port-isolate enable group 1
#
interface Ethernet0/0/2
port-isolate enable group 1
#
interface Ethernet0/0/3
#
return
-
驗證配置結果:
PC1和PC2不能互相ping通,PC1和PC3可以互相ping通,PC2和PC3可以互相ping通。實作了需求。
二、端口防環--port-security
适用與華為交換機,防止下級環路,自動shutdown下級有環路的端口。
<Huawei>system view
#
loopback-detect enable 全局模式下,啟用環路檢測功能
# interface GigabitEthernet0/0/1
loopback-detect action shutdown 如果下級有環路,shutdown本端口
# interface GigabitEthernet0/0/2
loopback-detect action shutdown
# interface GigabitEthernet0/0/3
loopback-detect action shutdown
#
……
那如何檢測與識别環路并定位呢?詳見這個:
https://wenku.baidu.com/view/1599b6a22cc58bd63086bd5d.html
三、端口安全--port-security
在網絡中MAC位址是裝置中不變的實體位址,控制MAC位址接入就控制了交換機的端口接入,是以端口安全也是對MAC的的安全。在交換機中CAM(Content Addressable Memory,内容可尋址記憶體表)表,又叫MAC位址表,其中記錄了與交換機相連的裝置的MAC位址、端口号、所屬vlan等對應關系。
(一)、MAC位址表分為三張
1、靜态MAC位址表,手工綁定,優先級高于動态MAC位址表
2、動态MAC位址表,交換機收到資料幀後會将源mac學習到MAC位址表中
3、黑洞MAC位址表,手工綁定或自動學習,用于丢棄指定MAC位址
(二)、MAC位址表的管理指令
1、檢視mac位址表
<Huawei>display mac-address
2、配置靜态mac位址表
[Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 将mac位址綁定到接口g0/0/1在vlan1中有效
3、配置黑洞mac位址表
[Huawei] mac-address blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的為此mac時丢棄幀
4、禁止端口學習mac位址,可以在端口或者vlan中禁止mac位址學習功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard
禁止學習mac位址,并将收到的所有幀丢棄,也可以在vlan中配置
[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
禁止學習mac位址,但是将收到幀以泛紅方式轉發(交換機對于未知目的mac位址轉發原理),也可以在vlan中配置
5、限制MAC位址學習數量,可以端口或者vlan中配置
[Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable
交換機限制mac位址學習數量為9個,并在超出數量時發出告警,超過的MAC數量将無法被端口學習到,但是可以通過泛紅轉發(交換機對于未知目的mac位址轉發原理),也可以在vlan中配置
6、配置端口安全動态mac位址
此功能是将動态學習到的MAC位址設定為安全屬性,其他沒有被學習到的非安全屬性的MAC的幀将被端口丢棄
[Huawei-GigabitEthernet0/0/3]port-security enable 打開端口安全功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC位址最大數量為1個,預設為1
[Huawei-GigabitEthernet0/0/3]port-security protect-action ? 配置其他非安全mac位址資料幀的處理動作
protect Discard packets 丢棄,不産生告警資訊
restrict Discard packets and warning 丢棄,産生告警資訊(預設的)
shutdown Shutdown 丢棄,并将端口shutdown
[Huawei-GigabitEthernet0/0/3]port-security aging-time 300 配置安全MAC位址的老化時間300s,預設不老化
在端口安全動态MAC位址中,配置如上的話,在g0/0/3端口學習到的第一個MAC位址設定為安全MAC位址,此外其他MAC位址在接入端口的話都不給予轉發,在300s後重新整理安全MAC位址表,并且重新學習安全MAC位址,(哪個MAC位址)先到就先被學到端口并設定為安全MAC位址,但是在交換機重新開機後安全MAC位址會被清空重新學習。
7、配置端口安全Sticky貼粘MAC位址
此功能與端口安全動态mac位址一直,唯一不同的是:粘貼MAC位址不會老化,切交換重新開機後依然存在,動态安全mac位址隻能動态學到而安全粘貼MAC可以動态學習也可以手工配置。
[Huawei-GigabitEthernet0/0/3]port-security enable 打開端口安全功能
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 打開安全粘貼MAC功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC位址最大數量為1個,預設為1
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1 手工綁定粘貼MAC位址和所屬vlan
[Huawei-GigabitEthernet0/0/3]port-security protect-action restrict 配置其他非安全mac位址資料幀的處理動作
檢視粘貼MAC位址狀态
[Huawei-GigabitEthernet0/0/3] display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98d8-71d5 1 - - GE0/0/3 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
[Huawei-GigabitEthernet0/0/3]
8、配置MAC位址防漂移功能
MAC位址漂移就是:在一個接口學習到的MAC位址在同一個vlan中的其他接口上也被學習到,這樣後學習的MAC位址資訊就會覆寫先學到的MAC位址資訊(出接口頻繁變動),這種情況多數為出現環路的時候發生,是以這個功能也可以用來排查和解決環路問題。
MAC位址防止漂移功能的原理是,在接口上配置優先級,優先級高的接口學習到的MAC位址不會在桶vlan的優先級低的其他接口上被學到,如果優先級相同那麼可以配置不允許相同優先級的接口學習到同一個MAC位址。
[Huawei]mac-address flapping detection 全局開啟MAC漂移檢測
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3 配置g0/0/2的接口優先級為3,預設為0
[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down 接口發生MAC位址漂移後關閉
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down 接口發生MAC位址漂移後關閉
[Huawei-GigabitEthernet0/0/3]quit
配置完成後,當g0/0/2的MAC漂移到g0/0/3後,g0/0/3端口将被關閉。
檢視MAC位址漂移記錄指令:
[Huawei]display mac-address flapping record 檢視MAC位址漂移記錄
9、配置丢棄全0的MAC位址封包功能
在網絡中一些主機或者裝置在發生故障時,會發送全源和目的MAC位址為全0的幀,可以配置交換機丢棄這些錯誤封包功能。
[Huawei]drop illegal-mac enable 打開丢棄全零mac位址功能
[Huawei]snmp-agent trap enable feature-name lldptrap 開啟snmp的lldptrap告警功能
[Huawei]drop illegal-mac alarm 打開收到全0封包告警功能,前提是必須開啟snmp的lldptrap告警功能
10、配置MAC位址重新整理arp功能
mac資訊更新後(如使用者更換接入端口)自動重新整理arp表項功能
[Huawei]mac-address update arp
[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] port bridge enable 為接口開啟橋功能
[Huawei-GigabitEthernet0/0/10] quit