華為交換機埠安全詳解--埠隔離、環路檢測與埠安全
一、埠隔離--port-isolate
-
組網需求
如圖1所示,要求PC1與PC2之間不能互相訪問,PC1與PC3之間可以互相訪問,PC2與PC3之間可以互相訪問。
-
配置埠隔離功能
# 配置埠隔離模式為二層隔離三層互通。
<Quidway> system-view [Quidway] port-isolate mode l2
-
# 配置Ethernet0/0/1和Ethernet0/0/2的埠隔離功能。
<Quidway> system-view [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] port-isolate enable group 1 [Quidway-Ethernet0/0/1] quit [Quidway] interface ethernet 0/0/2 [Quidway-Ethernet0/0/2] port-isolate enable group 1 [Quidway-Ethernet0/0/2] quit
ethernet 0/0/3 無需加入埠隔離組,處於隔離組的各個埠間不能通訊
-
檢視當前配置
disp cur # sysname Quidway # interface Ethernet0/0/1 port-isolate enable group 1 # interface Ethernet0/0/2 port-isolate enable group 1 # interface Ethernet0/0/3 # return
-
驗證配置結果:
PC1和PC2不能互相ping通,PC1和PC3可以互相ping通,PC2和PC3可以互相ping通。實現了需求。
二、埠防環--port-security
適用與華為交換機,防止下級環路,自動shutdown下級有環路的埠。
<Huawei>system view
#
loopback-detect enable 全域性模式下,啟用環路檢測功能
# interface GigabitEthernet0/0/1
loopback-detect action shutdown 如果下級有環路,shutdown本埠
# interface GigabitEthernet0/0/2
loopback-detect action shutdown
# interface GigabitEthernet0/0/3
loopback-detect action shutdown
#
……
那如何檢測與識別環路並定位呢?詳見這個:
https://wenku.baidu.com/view/1599b6a22cc58bd63086bd5d.html
三、埠安全--port-security
在網路中MAC地址是裝置中不變的實體地址,控制MAC地址接入就控制了交換機的埠接入,所以埠安全也是對MAC的的安全。在交換機中CAM(Content Addressable Memory,內容可定址記憶體表)表,又叫MAC地址表,其中記錄了與交換機相連的裝置的MAC地址、埠號、所屬vlan等對應關係。
(一)、MAC地址表分為三張
1、靜態MAC地址表,手工繫結,優先順序高於動態MAC地址表
2、動態MAC地址表,交換機收到資料幀後會將源mac學習到MAC地址表中
3、黑洞MAC地址表,手工繫結或自動學習,用於丟棄指定MAC地址
(二)、MAC地址表的管理命令
1、檢視mac地址表
<Huawei>display mac-address
2、配置靜態mac地址表
[Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 將mac地址繫結到介面g0/0/1在vlan1中有效
3、配置黑洞mac地址表
[Huawei] mac-address blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的為此mac時丟棄幀
4、禁止埠學習mac地址,可以在埠或者vlan中禁止mac地址學習功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard
禁止學習mac地址,並將收到的所有幀丟棄,也可以在vlan中配置
[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
禁止學習mac地址,但是將收到幀以泛紅方式轉發(交換機對於未知目的mac地址轉發原理),也可以在vlan中配置
5、限制MAC地址學習數量,可以埠或者vlan中配置
[Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable
交換機限制mac地址學習數量為9個,並在超出數量時發出告警,超過的MAC數量將無法被埠學習到,但是可以通過泛紅轉發(交換機對於未知目的mac地址轉發原理),也可以在vlan中配置
6、配置埠安全動態mac地址
此功能是將動態學習到的MAC地址設定為安全屬性,其他沒有被學習到的非安全屬性的MAC的幀將被埠丟棄
[Huawei-GigabitEthernet0/0/3]port-security enable 開啟埠安全功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址最大數量為1個,預設為1
[Huawei-GigabitEthernet0/0/3]port-security protect-action ? 配置其他非安全mac地址資料幀的處理動作
protect Discard packets 丟棄,不產生告警資訊
restrict Discard packets and warning 丟棄,產生告警資訊(預設的)
shutdown Shutdown 丟棄,並將埠shutdown
[Huawei-GigabitEthernet0/0/3]port-security aging-time 300 配置安全MAC地址的老化時間300s,預設不老化
在埠安全動態MAC地址中,配置如上的話,在g0/0/3埠學習到的第一個MAC地址設定為安全MAC地址,此外其他MAC地址在接入埠的話都不給予轉發,在300s後重新整理安全MAC地址表,並且重新學習安全MAC地址,(哪個MAC地址)先到就先被學到埠並設定為安全MAC地址,但是在交換機重啟後安全MAC地址會被清空重新學習。
7、配置埠安全Sticky貼粘MAC地址
此功能與埠安全動態mac地址一直,唯一不同的是:貼上MAC地址不會老化,切交換重啟後依然存在,動態安全mac地址只能動態學到而安全貼上MAC可以動態學習也可以手工配置。
[Huawei-GigabitEthernet0/0/3]port-security enable 開啟埠安全功能
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 開啟安全貼上MAC功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址最大數量為1個,預設為1
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1 手工繫結貼上MAC地址和所屬vlan
[Huawei-GigabitEthernet0/0/3]port-security protect-action restrict 配置其他非安全mac地址資料幀的處理動作
檢視貼上MAC地址狀態
[Huawei-GigabitEthernet0/0/3] display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98d8-71d5 1 - - GE0/0/3 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
[Huawei-GigabitEthernet0/0/3]
8、配置MAC地址防漂移功能
MAC地址漂移就是:在一個介面學習到的MAC地址在同一個vlan中的其他介面上也被學習到,這樣後學習的MAC地址資訊就會覆蓋先學到的MAC地址資訊(出介面頻繁變動),這種情況多數為出現環路的時候發生,所以這個功能也可以用來排查和解決環路問題。
MAC地址防止漂移功能的原理是,在介面上配置優先順序,優先順序高的介面學習到的MAC地址不會在桶vlan的優先順序低的其他介面上被學到,如果優先順序相同那麼可以配置不允許相同優先順序的介面學習到同一個MAC地址。
[Huawei]mac-address flapping detection 全域性開啟MAC漂移檢測
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3 配置g0/0/2的介面優先順序為3,預設為0
[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down 介面發生MAC地址漂移後關閉
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down 介面發生MAC地址漂移後關閉
[Huawei-GigabitEthernet0/0/3]quit
配置完成後,當g0/0/2的MAC漂移到g0/0/3後,g0/0/3埠將被關閉。
檢視MAC地址漂移記錄命令:
[Huawei]display mac-address flapping record 檢視MAC地址漂移記錄
9、配置丟棄全0的MAC地址報文功能
在網路中一些主機或者裝置在發生故障時,會傳送全源和目的MAC地址為全0的幀,可以配置交換機丟棄這些錯誤報文功能。
[Huawei]drop illegal-mac enable 開啟丟棄全零mac地址功能
[Huawei]snmp-agent trap enable feature-name lldptrap 開啟snmp的lldptrap告警功能
[Huawei]drop illegal-mac alarm 開啟收到全0報文告警功能,前提是必須開啟snmp的lldptrap告警功能
10、配置MAC地址重新整理arp功能
mac資訊更新後(如使用者更換接入埠)自動重新整理arp表項功能
[Huawei]mac-address update arp
11、配置埠橋接功能
正常情況下,交換機在收到源MAC地址和目的MAC地址的出介面為同一個介面的報文時,就認為該報文為非法報文,進行丟棄,但是有些情況下資料幀的源MAC和目的MAC地址又確實是同一個出介面,為了讓交換機能夠不丟棄這些特殊情況下的幀需要啟用交換的埠橋功能,比如交換機下掛了不具備二層轉發能力的HUB裝置,或者下掛了一臺啟用了多個虛擬機器的伺服器,這樣在這些下掛裝置的下面的主機通訊都是通過交換機的同一個介面收發的,所以這些幀是正常的幀不能丟棄。
[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] port bridge enable 為介面開啟橋功能
[Huawei-GigabitEthernet0/0/10] quit
相關文章
- 華為交換機和銳捷交換機埠隔離
- 交換機埠安全總結
- 詳解H3C交換機“埠安全”功能
- 華為交換機埠映象配置
- CISCO交換機,埠安全配置例項。
- 實戰演練!CISCO交換機埠安全一點通
- 各種交換機埠安全總結(配置例項)(轉)
- 交換機埠總結
- HUAWEI交換機埠映象
- 常見埠及安全測試
- 二層交換機埠模式模式
- 網路-01-埠號-linux埠詳解大全Linux
- 利用二層埠安全防止兩個三層交換機長距離光纖線路被亂接測試
- 埠掃描網路安全工具——NMAP
- 安全組常用的埠
- 華為S2300交換機埠映象配置
- 埠碰撞技術讓開放埠更安全(轉)
- 用netstat -ano檢視本機埠詳解
- 交換機M:N埠映象配置
- 思科3560交換機埠限速
- 你最需要了解的H3C交換機埠安全模式模式
- 預設非安全埠列表
- 計算機網路實驗七:交換頻寬與埠密度計算機網路
- HCNP Routing&Switching之埠隔離
- Ubuntu檢視埠和釋放埠Ubuntu
- 單埠SRAM與雙埠SRAM電路結構
- Linux檢視埠詳情Linux
- websocket的埠,阿里雲伺服器安全組開放埠Web阿里伺服器
- 記近日各型別交換機MAC與埠繫結配置型別Mac
- 談談IP、MAC與交換機埠繫結的方法Mac
- 快速查詢交換機埠的VLAN ID
- Cisco交換機配置新手篇-埠配置(一)
- linux下nc檢測埠Linux
- 解決交換機埠出現err-disabled現象
- linux 檢視網路埠Linux
- 網際網路企業安全之埠監控
- Linux下串列埠通訊詳解(下)讀寫串列埠及關閉串列埠Linux串列埠
- Windows安全保護機制下對埠的操作Windows