華為交換機埠安全詳解--埠隔離、環路檢測與埠安全

一、埠隔離--port-isolate

1. 組網需求

   如圖1所示，要求PC1與PC2之間不能互相訪問，PC1與PC3之間可以互相訪問，PC2與PC3之間可以互相訪問。

   

2. 配置埠隔離功能

   # 配置埠隔離模式為二層隔離三層互通。

   <Quidway> system-view
   [Quidway] port-isolate mode l2

    

3. # 配置Ethernet0/0/1和Ethernet0/0/2的埠隔離功能。

   <Quidway> system-view
   [Quidway] interface ethernet 0/0/1
   [Quidway-Ethernet0/0/1] port-isolate enable group 1
   [Quidway-Ethernet0/0/1] quit
   
   [Quidway] interface ethernet 0/0/2
   [Quidway-Ethernet0/0/2] port-isolate enable group 1
   [Quidway-Ethernet0/0/2] quit
   

   ethernet 0/0/3 無需加入埠隔離組，處於隔離組的各個埠間不能通訊

4. 檢視當前配置

   disp cur  
   #
    sysname Quidway
   #
   interface Ethernet0/0/1
    port-isolate enable group 1
   #
   interface Ethernet0/0/2
    port-isolate enable group 1
   #
   interface Ethernet0/0/3
   #
   return

    

5. 驗證配置結果：

   PC1和PC2不能互相ping通，PC1和PC3可以互相ping通，PC2和PC3可以互相ping通。實現了需求。

二、埠防環--port-security

適用與華為交換機，防止下級環路，自動shutdown下級有環路的埠。 

<Huawei>system view
#
  loopback-detect enable                  全域性模式下，啟用環路檢測功能

# interface GigabitEthernet0/0/1
  loopback-detect action shutdown         如果下級有環路，shutdown本埠
# interface GigabitEthernet0/0/2
  loopback-detect action shutdown 
# interface GigabitEthernet0/0/3 
  loopback-detect action shutdown 
#
  ……

那如何檢測與識別環路並定位呢？詳見這個：

https://wenku.baidu.com/view/1599b6a22cc58bd63086bd5d.html

三、埠安全--port-security

        在網路中MAC地址是裝置中不變的實體地址，控制MAC地址接入就控制了交換機的埠接入，所以埠安全也是對MAC的的安全。在交換機中CAM（Content Addressable Memory，內容可定址記憶體表）表，又叫MAC地址表，其中記錄了與交換機相連的裝置的MAC地址、埠號、所屬vlan等對應關係。

（一）、MAC地址表分為三張

1、靜態MAC地址表，手工繫結，優先順序高於動態MAC地址表

2、動態MAC地址表，交換機收到資料幀後會將源mac學習到MAC地址表中

3、黑洞MAC地址表，手工繫結或自動學習，用於丟棄指定MAC地址

（二）、MAC地址表的管理命令

1、檢視mac地址表

<Huawei>display mac-address

2、配置靜態mac地址表

[Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1   將mac地址繫結到介面g0/0/1在vlan1中有效

3、配置黑洞mac地址表

[Huawei] mac-address blackhole 5489-987f-161a vlan 1                   在vlan1中收到源或目的為此mac時丟棄幀

4、禁止埠學習mac地址，可以在埠或者vlan中禁止mac地址學習功能

[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard

禁止學習mac地址，並將收到的所有幀丟棄，也可以在vlan中配置

[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward

禁止學習mac地址，但是將收到幀以泛紅方式轉發（交換機對於未知目的mac地址轉發原理），也可以在vlan中配置

5、限制MAC地址學習數量，可以埠或者vlan中配置

[Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable      

交換機限制mac地址學習數量為9個，並在超出數量時發出告警，超過的MAC數量將無法被埠學習到，但是可以通過泛紅轉發（交換機對於未知目的mac地址轉發原理），也可以在vlan中配置

6、配置埠安全動態mac地址

此功能是將動態學習到的MAC地址設定為安全屬性，其他沒有被學習到的非安全屬性的MAC的幀將被埠丟棄

[Huawei-GigabitEthernet0/0/3]port-security enable            開啟埠安全功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1     限制安全MAC地址最大數量為1個，預設為1
[Huawei-GigabitEthernet0/0/3]port-security protect-action ?  配置其他非安全mac地址資料幀的處理動作
  protect   Discard packets                                  丟棄，不產生告警資訊
  restrict  Discard packets and warning                      丟棄，產生告警資訊（預設的）
  shutdown  Shutdown                                         丟棄，並將埠shutdown
[Huawei-GigabitEthernet0/0/3]port-security aging-time 300    配置安全MAC地址的老化時間300s，預設不老化

       在埠安全動態MAC地址中，配置如上的話，在g0/0/3埠學習到的第一個MAC地址設定為安全MAC地址，此外其他MAC地址在接入埠的話都不給予轉發，在300s後重新整理安全MAC地址表，並且重新學習安全MAC地址，（哪個MAC地址）先到就先被學到埠並設定為安全MAC地址，但是在交換機重啟後安全MAC地址會被清空重新學習。

7、配置埠安全Sticky貼粘MAC地址

      此功能與埠安全動態mac地址一直，唯一不同的是：貼上MAC地址不會老化，切交換重啟後依然存在，動態安全mac地址只能動態學到而安全貼上MAC可以動態學習也可以手工配置。

[Huawei-GigabitEthernet0/0/3]port-security enable                    開啟埠安全功能

[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky        開啟安全貼上MAC功能

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1             限制安全MAC地址最大數量為1個，預設為1

[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1       手工繫結貼上MAC地址和所屬vlan

[Huawei-GigabitEthernet0/0/3]port-security protect-action  restrict  配置其他非安全mac地址資料幀的處理動作

檢視貼上MAC地址狀態
[Huawei-GigabitEthernet0/0/3] display mac-address 
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98d8-71d5 1           -      -      GE0/0/3         sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1 
[Huawei-GigabitEthernet0/0/3]

8、配置MAC地址防漂移功能

       MAC地址漂移就是：在一個介面學習到的MAC地址在同一個vlan中的其他介面上也被學習到，這樣後學習的MAC地址資訊就會覆蓋先學到的MAC地址資訊（出介面頻繁變動），這種情況多數為出現環路的時候發生，所以這個功能也可以用來排查和解決環路問題。

       MAC地址防止漂移功能的原理是，在介面上配置優先順序，優先順序高的介面學習到的MAC地址不會在桶vlan的優先順序低的其他介面上被學到，如果優先順序相同那麼可以配置不允許相同優先順序的介面學習到同一個MAC地址。

[Huawei]mac-address flapping detection                   全域性開啟MAC漂移檢測
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3     配置g0/0/2的介面優先順序為3，預設為0
[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down   介面發生MAC地址漂移後關閉
[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down   介面發生MAC地址漂移後關閉
[Huawei-GigabitEthernet0/0/3]quit

配置完成後，當g0/0/2的MAC漂移到g0/0/3後，g0/0/3埠將被關閉。

檢視MAC地址漂移記錄命令：

[Huawei]display mac-address flapping record    檢視MAC地址漂移記錄

9、配置丟棄全0的MAC地址報文功能

在網路中一些主機或者裝置在發生故障時，會傳送全源和目的MAC地址為全0的幀，可以配置交換機丟棄這些錯誤報文功能。

[Huawei]drop illegal-mac enable                    開啟丟棄全零mac地址功能
[Huawei]snmp-agent trap enable feature-name lldptrap   開啟snmp的lldptrap告警功能
[Huawei]drop illegal-mac alarm                     開啟收到全0報文告警功能，前提是必須開啟snmp的lldptrap告警功能

10、配置MAC地址重新整理arp功能

mac資訊更新後（如使用者更換接入埠）自動重新整理arp表項功能

[Huawei]mac-address update arp 

11、配置埠橋接功能

       正常情況下，交換機在收到源MAC地址和目的MAC地址的出介面為同一個介面的報文時，就認為該報文為非法報文，進行丟棄，但是有些情況下資料幀的源MAC和目的MAC地址又確實是同一個出介面，為了讓交換機能夠不丟棄這些特殊情況下的幀需要啟用交換的埠橋功能，比如交換機下掛了不具備二層轉發能力的HUB裝置，或者下掛了一臺啟用了多個虛擬機器的伺服器，這樣在這些下掛裝置的下面的主機通訊都是通過交換機的同一個介面收發的，所以這些幀是正常的幀不能丟棄。

[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] port bridge enable           為介面開啟橋功能
[Huawei-GigabitEthernet0/0/10] quit