翻译来自：https://www.technig.com/mitigate-vlan-attacks/
https://www.technig.com/prevent-mac-flooding-attack/
https://www.technig.com/configure- DHCP -snooping-cisco-switch

参考：https://blog.csdn.net/weixin_46948473/article/details/114171145

受个人知识所限及偏见影响，部分内容或存在过度曲解误解情况，望师傅们包含并提出建议，感谢。

MAC 泛洪攻击

在二层交换机中有一个内容可寻址存储器（CAM），其中存放着 MAC 地址表。CAM 表和 MAC 地址表可以看作是一回事。CAM 表中绑定并存储着连接到物理交换机端口的 MAC 地址和相关的 VLAN 参数。交换机将传入帧的单播目的 MAC 地址与 CAM 表中的表项进行对比，以此来决定如何进行端口转发。如果在 CAM 表中存在目的 MAC 地址，交换机就会对该帧进行相应的转发。如果 CAM 表中不存在目的 MAC 地址，交换机将会向除该帧入口以外的其他端口进行泛洪。这就是所谓的单播泛洪。

CAM 攻击是如何实现的？

所有的 CAM 表的存储大小都是固定的，所以交换机是绝对存在可以耗尽存储 MAC 地址的资源的。CAM 表溢出攻击（也叫 MAC 地址溢出攻击）正是利用这一点限制，通过大量的虚假 MAC 地址对交换机进行轰击，直到交换机的 MAC 地址表都被虚假 MAC 地址填满。

如果在旧表项过期之前有足够多的新条目进入 CAM 表，这样表就会被填满，以至于不能接收其他新的条目进来。当这种情况发生时，交换机就会将含有新 MAC 地址的帧视为未知的单播，并开始向所有的端口进行泛洪，而不再进行检索 CAM 表的操作。本质上，此时的交换机就充当于一个集线器。这时，攻击者就可以在网络中捕获任意一台主机发送到另一台主机的所有帧。

注意： 流量只会在本地 VLAN 中进行泛洪，所以入侵者也只能看到其所接入的本地 VLAN 内的流量。

在 Windows 和 Linux 上可用的 MAC 泛洪工具

Macof 工具可以通过生成随机的 MAC 地址来对本地网络进行泛洪（可能会造成交换机无法在中继模式下正常运行，方便进行嗅探）。但是该工具的危险之处在于其能够每秒生成高达8000多个的虚假帧来对交换机进行泛洪，也就是说该工具在几秒内就能够完成一次 CAM 表溢出攻击。

这些工具的另一个危险之处在于，它们不仅仅会影响本地交换机，还能够影响与当前交换机相连的其他二层交换机。当一台交换机的 CAM 表项被填满时，它就会向所有端口广播该帧，这些端口中就包含连接着其他二层交换机的端口。

如何防范 MAC 泛洪攻击？

为了缓解 CAM 表溢出攻击，网络管理员必须配置端口安全策略。这是防范 MAC 泛洪攻击和 CAM 表溢出攻击最简单、最有效的防范措施。端口安全策略允许管理员对端口静态的指定唯一的 MAC 地址，或允许交换机动态学习有限数量的 MAC 地址。通过将一个端口上允许的 MAC 地址数量限制为仅有一个，端口安全策略可以用来控制网络的未授权扩张。

在配置或启用端口安全后，MAC 地址将会被分配到一个安全端口，该端口不会转发在定义地址组范围之外的源 MAC 地址帧。当配置了端口安全的端口收到一个帧时，该帧的源 MAC 地址会与该端口上手动配置或自动配置（自动学习到的）的安全源地址列表进行比较。

要启用端口安全，需在 access 端口中使用 switchport port-security 接口配置命令。在启用端口安全之前，该端口必须被配置为 access 端口。这是因为端口安全只能被配置到 access 端口上，而且默认情况下，二层交换机的端口默认模式为 dynamic auto（开启中继）。因此，该端口必须在一开始就使用 switchport mode access 接口配置命令将其配置为 access 端口。

使用 switchport port-security maximum 最大值数字 命令来设置端口允许的最大 MAC 地址数。

注意： 可以配置的安全 MAC 地址的实际最大数量是由交换机数据库管理（SDM）模块所允许的最大 MAC 地址数决定的。可以使用 show sdm prefer 命令来查看当前的模块设置。

交换机在配置通过安全端口获取 MAC 地址的方式是二选一的：

• 手动配置 — 使用 switchport port-security mac-address 接口配置命令来手动配置 MAC 地址
• 自动学习 — 使用 switchport port-security mac-address sticky 接口配置命令来启用交换机的自动学习 MAC 地址的功能。

S4(config)# interface fastEthernet 0/10
S4(config-if)# switchport mode access
S4(config-if)# switchport port-security
S4(config-if)# switchport port-security maximum 5
S4(config-if)# switchport port-security violation shutdown
S4(config-if)# switchport port-security mac-address sticky

使用 show port-security interface FastEthernet 0/10（举例说明）命令来显示对应端口的配置结果。

```
S4#show port-security interface fastEthernet 0/10
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)

---

   Fa0/10        5          0                 0         Shutdown

---

Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 5
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

S4#
```

针对非法接入计算机的处理模式

在配置端口安全后还有三种违反防范 MAC 泛洪攻击的端口模式，Restrict、Shutdown 及 Protect 模式：

• Protect — 这是针对非法接入计算机处理模式中最不安全的一种。当安全 MAC 地址的数量达到端口的极限时，带有未知源地址的数据包就会被丢弃，直到有足够数量的安全 MAC 地址项被移除为止，或最大允许地址的数量被增加。直接丢弃数据包，不会发出警告。
• Restrict — 当安全 MAC 地址的数量达到端口的极限时，带有未知源地址的数据包就会被丢弃，直到有足够数量的安全 MAC 地址项被移除为止，或最大允许地址的数量被增加。在该模式下，会在控制台中发出警告。
• Shutdown — 在这种（默认的）模式下，端口安全的违规行为将直接导致该接口成为 error-disabled 状态，并且会关闭该接口在交换机上对应的 LED 提示灯。当一个安全端口处于 error-disabled 状态时，可以通过输入 shutdown 和 no shutdown 接口配置命令使其脱离该状态。更关键的是，该端口必须由管理员手动重新启用。

端口安全地址的老化时间

port-security aging 可以用来设置一个端口上静态和动态安全地址的老化时间。每个端口支持两种类型的老化：

• Absolute — 在指定的老化时间后，该端口上的安全地址将会被删除
• Inactivity — 只有当端口上的安全地址在指定的老化时间内不活跃时才会被删除。

使用老化时间来删除安全端口上的安全 MAC 地址，而无需手动删除现有的安全 MAC 地址。还可以增加老化时间的限制，以确保即使是在添加新的 MAC 地址时，过去的安全 MAC 地址也仍然存在。需要记住的是，每个端口可以配置的最大安全地址的数量是多少。静态配置的安全地址的老化可以在每个端口的基础上进行启用或禁用操作。

S4(config-if)#switchport port-security aging time 150

DHCP 攻击的类型

攻击者通常会利用 DHCP 欺骗攻击或是 DHCP 饥饿攻击（耗竭攻击）等 DHCP 攻击手段来对你的网络系统进行攻击并获取部分关键信息。

1. DHCP 欺骗攻击

当一个伪装的 DHCP 服务器接入网络并向网络中的合法客户端提供虚假的 IP 配置参数时，就会触发 DHCP 欺骗攻击。该伪装服务器还会提供各种各样的误导性信息：

• 错误的默认网关 — 攻击者向客户端提供其对应主机的无效网关或 IP 地址，以此来对其进行中间人攻击。有时这种攻击几乎不会被察觉到，因为入侵者将会拦截通过该网络的所有流量。
• 错误的 DNS 服务器信息 — 攻击者提供一个错误的 DNS 服务器地址，将用户指向一个非法的网站。
• 错误的 IP 地址 — 攻击者提供一个无效的默认网关地址，并在 DHCP 客户端上进行 DoS 攻击。

2. DHCP 饥饿攻击

另一种 DHCP 攻击手段是 DHCP 饥饿攻击。此类攻击的目的是向正在进行连接的客户端进行DoS攻击。诸如 Gobbler 这样的工具就可以实现 DHCP 饥饿攻击。

Gobbler 可以对整个网络内可租用IP地址的范围进行查看，并试图将其全部占用。具体来说，就是利用虚假的 MAC 地址来不断发起 DHCP discovery 请求报文。

缓解 DHCP 攻击

可以通过简单的配置端口安全来缓解 DHCP 饥饿攻击，但是这对于缓解 DHCP 欺骗攻击来说还远远不够。

比方说，Gobbler 针对每个 DHCP 请求和端口安全都会使用一个唯一的MAC地址。可以通过配置端口安全来缓解这种情况。但是，Gobbler 也可以配置成可以仅通过一个端口就对每个请求提供带有不同硬件地址的 MAC 地址。这种情况下端口安全的配置就无效了。

在受信端口上配置 DHCP snooping 可以起到缓解 DHCP 欺骗攻击的作用。配置 DHCP snooping 还可以通过限制非受信端口可接收 DHCP discovery 报文的速率来缓解 DHCP 饥饿攻击。配置 DHCP snooping 还会生成并维护一个 DHCP snooping 绑定数据库，交换机可利用该数据库对来自非受信源的 DHCP 报文进行过滤。 DHCP snooping 绑定表中包含客户端MAC地址、IP地址、 DHCP 租用时长、绑定类型、VLAN 编号以及每个非受信端口或接口的接口信息。

注意：在一个大型的网络中， DHCP 绑定表需要一定的时间才能够生成。例如，如果 DHCP 的租用时长为4天的话，那么配置 DHCP snooping 可能会花上2天的时间去生成该表。

1. DHCP Snooping 功能

DHCP Snooping 功能就像是在非受信主机与受信 DHCP 服务器之间的一道防火墙。一般 DHCP snooping 将会执行以下操作：

• 验证来自非受信源的 DHCP 报文并过滤掉无效报文
• 生成并维护 DHCP snooping 绑定数据库，其中包含着已租用到IP地址的非受信主机信息。
• 使用 DHCP snooping 绑定数据库来验证来自非受信主机的后续请求。

动态 ARP 检查（DAI）和 IP 源保护功能也会使用保存在 DHCP snooping 绑定数据库中的信息。

交换机是在每个 VLAN 的基础上启用 DHCP snooping功能的。你可以针对某单一 VLAN 或某一范围中的 VLAN 启用该功能。

配置 DHCP snopping 来缓解 DHCP 攻击

当你在某一接口或 VLAN 内配置了 DHCP snooping 时，交换机在接收到来自非受信端口的数据包后，交换机会将该数据包的源信息与 DHCP snooping 绑定表中的信息进行比较。

• 受信 DHCP 端口 — 只有连接到上游 DHCP 服务器的端口才能算是受信端口。这些端口负责处理回复 DHCP offer 和 DHCP Ack 报文。受信端口必须在配置中被明确指出。
• 非受信端口 — 这些与主机相连的端口不负责处理有关 DHCP 服务器的报文。默认情况下，所有的交换机端口都是非受信端口。

在配置 DHCP snooping 时一般都会遵循这样的一条规则“根据不同 VLAN 来确认可信端口并启用 DHCP snooping 功能”。因此，我们会按照以下步骤来启用并配置 DHCP snooping 功能：

• Step 1：使用 ip DHCP snooping 全局配置命令在启用 DHCP snooping
• Step 2：在可信端口内，使用 ip DHCP snooping trust 接口配置命令进行配置
• Step 3：根据不同 VLAN 来启用 DHCP snooping 功能

最后配置一下可容纳 MAC 地址的最大数量

S1(config)# ip DHCP snooping
S1(config)#
S1(config)# interface f0/1
S1(config-if)# ip DHCP snooping trust
S1(config-if)# exit
S1(config)#
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip DHCP snooping limit rate 4
S1(config-if-range)# exit
S1(config)#
S1(config)# ip DHCP snooping vlan 5,10,50-52
S1(config)#

使用 show ip DHCP snooping 特权命令来显示输出结果

S1# show ip DHCP snooping

使用 show ip DHCP snooping binding 命令来显示输出绑定表结果，或使用 show ip snooping database 命令对结果进行验证。

S1# show ip DHCP snooping binding

针对非受信端口使用 ip DHCP snooping limit rate 接口配置命令来限制该端口每秒可接收 DHCP discovery 报文的速率。

注意： 限制其接收报文的速率有助于缓解 DHCP 饥饿攻击的风险。

类似的缓解手段也适用于 DHCP v6 和 IPv6 的客户端。因为 IPv6 的设备也可以从路由器的路由器公告（RA）报文中获得寻址信息，所以这还有一些缓解措施来防范恶意的 RA 报文。

可信源与不可信源

你可以在 DHCP snooping 配置中配置是否信任该流量源。不可信源中可能会存在流量攻击等其他破坏行为。为了防范此类攻击， DHCP snooping 功能将会过滤掉来自不可信源的报文。

在企业网络中，可信源是那些在你管理范围之内的设备。其中包括交换机、路由器和服务器等。防火墙之外或可信网络之外的任何设备都算作是不可信的来源。一般来说，与主机相连端口都会被视为不可信来源。

在服务提供商的环境下，任何服务提供商网络范围之外的设备都是不可信的（比如客户的交换机）。

所有接口的默认状态都是“untrusted”（不可信的）。必须把与 DHCP 服务器相连的接口配置为“trusted”（可信的）。如果存在其他接入网络的设备（如交换机或路由器），你也可以根据情况将其配置为可信的。但通常不应该将连接主机的接口设为可信接口。

VLAN 跳跃攻击

如何缓解 VLAN 攻击？

VLAN 跳跃攻击是一种计算机安全漏洞，是一种攻击虚拟局域网（VLAN）内网络资源的手段。所有 VLAN 跳跃攻击的基本概念就是让位于一个 VLAN 上的攻击机能够获得其他 VLAN 中的流量，而正常情况下这些流量是不应该被随意获取的。

防范 VLAN 跳跃攻击最好的措施：

• 通过使用 switchport mode access 接口配置命令，在非中继端口上禁用 DTP（自动中继）协商。

S5(config)# interface range fa0/1 - 14
S5(config-if-range)# switchport mode access
S5(config-if-range)# exit
- 使用 switchport mode trunk 接口配置命令手动设置t runk 链路。

S5(config)# interface range fa0/15 - 18
S5(config-if-range)# switchport mode access
S5(config-if-range)# switchport access vlan 899
S5(config-if-range)# shutdown
S5(config-if-range)# exit
- 使用 switchport non-negotiate 接口配置命令在 trunk 端口上配置DTP（自动中继）协商。
- 使用 switchport trunk native vlan vlan编码 命令将所有未划分 VLAN 的端口默认划分为其他未被使用的除 VLAN 1 以外的 VLAN 上。

S5(config)# interface range fa0/19 - 24
S5(config-if-range)# switchport mode trunk
S5(config-if-range)# switchport nonegotiate
S5(config-if-range)# switchport trunk native vlan 900
S5(config-if-range)# exit
- 禁用未使用的端口并将其划分到未使用的 VLAN 内。

一次 VLAN 跳跃攻击可以通过对以下方法进行二选一操作：

• 通过伪装来自攻击机的 DTP 报文，使交换机进入中继模式。此时，攻击者可以发送带有目标 VLAN 标记的流量，然后交换机就会将这些数据包送到目的主机。
• 引入一个恶意的交换机并启用中继。然后攻击者可以经由该恶意交换机访问受害者交换机内的所有 VLAN。

双标签攻击

另一种 VLAN 跳跃攻击叫做双标签攻击（或是双封装攻击）。这种攻击手段利用了大多数交换机上硬件的运转方式。

• Step 1：攻击者向交换机发送了一个双标记的 802.1Q 帧。外层头部信息中有攻击者的 VLAN 标签，该 VLAN 标签与 trunk 端口的本地 VLAN 相同。假设交换机接收到了来自攻击者发来的帧，就会像是它在一个 trunk 端口或者一个带有语音 VLAN 的端口上一样。（在交换机的 access 端口中不可以接收带有以太网标签的帧。）在本例中，假设本地 VLAN 是 VLAN10， 内部标签是受害者所在 VLAN，本例中为 VLAN20。
• Step 2：帧到达交换机上，交换机查看第一个4字节的 802.1Q 标签。交换机看到该帧的目的 VLAN 是 VLAN10，也就是本地 VLAN。交换机在剥离 VLAN 10 标签后，将数据包转发到所有的 VLAN 10 端口上。在 trunk 端口，VLAN 10 标签被剥离，数据包不会再被重新标记，因为它是本地 VLAN 的一部分。在这一点上，VLAN 20 的标签依然是完整的，没有被第一台交换机检查到。
• Step 3：第二台交换机只会查看攻击者发送的内部的 802.1Q 标签，发现该帧的目的 VLAN 是 VLAN 20，即受害者目标 VLAN。第二台交换机将该帧发送到受害者所在端口或者将该帧进行泛洪，这里取决于交换机中是否存在受害主机的 MAC 地址表项。

不过这种类型的攻击是单向的，只有当攻击者连接到的恰好与 trunk 端口的本地 VLAN 是同一 VLAN 的端口时才会有效。打败这种攻击的方式并不会像防范基本的 VLAN 跳跃攻击那样容易。

缓解双标签攻击的最佳方案是确保 trunk 端口对应的本地 VLAN 与任何连接用户的端口所处的 VLAN 不同。实际上，使用一个与交换机网络中所有用户 VLAN 不同的固定 VLAN 作为 802.1Q 的 trunk 链路 VLAN 被认为是一种安全的最佳做法。

PVLAN 边界配置

有些应用要求不要再同一台交换机的端口之间进行流量转发，这样相邻主机就不会看到另一台相邻主机产生的流量了。

在这样的环境中，使用 PVLAN（私有 VLAN）边界功能可以确保交换机上的 PVLAN 边界端口之间不存在单播、广播或多播流量的交换。PVLAN 边界功能也被称为端口保护。

PVLAN 边界功能有以下特点：

• 一个受保护的端口不会转发任何流量到任何其他也是受保护的端口，如单播、多播或是广播流量。数据流量不能在第二层的受保护端口之间转发；只有控制流量可以转发，因为这些数据包是由 CPU 处理并在软件中转发的。所有在受保护端口之间传递的数据流量必须通过三层设备进行转发。
• 受保护端口和不受保护的端口之间的转发行为如常进行。
• 默认情况下不对任何端口进行配置端口保护

使用 switchport protected 接口配置命令来配置端口保护功能。

S5(config)# interface g0/1
S5(config-if)# switchport protected
S5(config-if)# end
S5(config-if)#
S5# show interfaces g0/1 switchport

命令集合（举例说明，可能存在错误，请见谅）

Cisco

DHCP Snooping

```

开启 DHCP snooping功能

S1(config)# ip DHCP snooping
S1(config)#

配置可信端口，默认所有端口不可信

S1(config)# interface f0/1
S1(config-if)# ip DHCP snooping trust
S1(config-if)# exit
S1(config)#

限制不可信端口接收 DHCP 报文的速率

S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip DHCP snooping limit rate 4

S1(config-if-range)# exit
S1(config)#

设置 DHCP snooping功能将作用于那些vlan

S1(config)# ip DHCP snooping vlan 5,10,50-52
S1(config)#

查看配置结果

S1# show ip DHCP snooping
S1# show ip DHCP snooping binding
```

port security

```

设置交换模式

S4(config)# interface fastEthernet 0/10
S4(config-if)# switchport mode access

启用端口安全

S4(config-if)# switchport port-security

允许端口通过vlan的最大MAC地址数

S4(config-if)# switchport port-security maximum 5

当发现与上述配置不符时，端口down掉

S4(config-if)# switchport port-security violation shutdown

配置端口映射

S4(config-if)# switchport port-security mac-address sticky

配置老化时间

S4(config-if)#switchport port-security aging time 150
S4(config-if)#exit

查看配置结果

S4#show port-security interface fastEthernet 0/10
```

switchport mode

```

配置端口交换模式

S5(config)# interface range fa0/1 - 14
S5(config-if-range)# switchport mode access
S5(config-if-range)# exit

S5(config)# interface range fa0/15 - 18
S5(config-if-range)# switchport mode access
S5(config-if-range)# switchport access vlan 899
S5(config-if-range)# shutdown
S5(config-if-range)# exit

S5(config)# interface range fa0/19 - 24
S5(config-if-range)# switchport mode trunk
S5(config-if-range)# switchport nonegotiate
S5(config-if-range)# switchport trunk native vlan 900
S5(config-if-range)# exit
```

protected port

```

启用端口保护

S5(config)# interface g0/1
S5(config-if)# switchport protected
S5(config-if)# end
S5(config-if)#

查看配置结果

S5# show interfaces g0/1 switchport
```

HUAWEI

配置 DHCP Snooping

```

启用 DHCP Server探测功能

system-view
[Snooping] DHCP server detect

启用 DHCP 报文接收速率检测

[Snooping] DHCP snooping check DHCP -rate enable
[Snooping] DHCP snooping check DHCP -rate enable vlan vlanid
[Snooping] DHCP snooping check DHCP -rate rate

检查指定vlan下 DHCP 报文匹配

[Snooping] DHCP snooping check DHCP -request enable vlan
[Snooping] DHCP snooping check DHCP -chaddr enable vlan

配合允许自动学习的最大用户数

[Snooping] DHCP snooping max-user-number max-user-number vlan vlanid
```

配置端口安全

```

配置安全MAC

system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 2
[HUAWEI-GigabitEthernet1/0/1] port-security protect-action restrict
[HUAWEI-GigabitEthernet1/0/1] quit

配置Sticky MAC

system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable
[HUAWEI-GigabitEthernet1/0/1] port-security mac-address sticky
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 5
[HUAWEI-GigabitEthernet1/0/1] quit
```

端口交换模式

```

接口以access类型加入VLAN 10

[HUAWEI] interface gigabitethernet 0/0/3
[HUAWEI-GigabitEthernet0/0/3] port link-type access
[HUAWEI-GigabitEthernet0/0/3] port default vlan 10

接口以trunk类型加入VLAN 20~30

[HUAWEI] interface gigabitethernet 0/0/4
[HUAWEI-GigabitEthernet0/0/4] port link-type trunk
[HUAWEI-GigabitEthernet0/0/4] port trunk allow-pass vlan 20 to 30

接口以hybrid类型加入VLAN 40和VLAN 42，其中以tagged方式加入VLAN 40，以Untagged方式加入VLAN 42

[HUAWEI] interface gigabitethernet 0/0/5
[HUAWEI-GigabitEthernet0/0/5] port link-type hybrid
[HUAWEI-GigabitEthernet0/0/5] port hybrid tagged vlan 40
[HUAWEI-GigabitEthernet0/0/5] port hybrid untagged vlan 42
3. trunk接口删除透传的某个VLAN
[HUAWEI]interface gigabitethernet 0/0/4
[HUAWEI-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 22 //不允许接口透传VLAN 22
```

配置端口保护

```

创建并进入端口保护组视图

system-view
[HUAWEI]port protect-group protect-group-index

配置端口保护组中的主用接口

[HUAWEI]protect-group member interface-type interface-number master

配置端口保护组中的备用接口

[HUAWEI]protect-group member interface-type interface-number standby
```

H3C

配置 DHCP Snooping

<Snooping> system-view
[Snooping] DHCP -snooping
[Snooping] DHCP -snooping information enable
[Snooping] DHCP -packet redirect Ethernet 0/11 to 0/13

配置端口安全

```

使能端口安全。

system-view
[Device] port-security enable

设置安全MAC地址的老化时间为30分钟。

[Device] port-security timer autolearn aging 30

设置端口安全允许的最大安全MAC地址数为64。

[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] port-security max-mac-count 64

设置端口安全模式为autoLearn。

[Device-Ten-GigabitEthernet1/0/1] port-security port-mode autolearn

设置触发入侵检测特性后的保护动作为暂时关闭端口，关闭时间为30秒。

[Device-Ten-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Device-Ten-GigabitEthernet1/0/1] quit
[Device] port-security timer disableport 30
```

端口交换模式

```
system-view
[SwitchB] interface Ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port access vlan 200
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port access vlan 100
[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface GigabitEthernet 1/1/1
[SwitchB-GigabitEthernet1/1/1] port link-type trunk
[SwitchB-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/1] quit
```

配置私有VLAN

```

创建VLAN

[H3C-S5800]vlan 2 to 4

把VLAN2定义为primary VLAN，并且关联secondary VLAN 3 与4

[H3C-S5800]vlan 2
[H3C-S5800-vlan2]private-vlan primary
[H3C-S5800-vlan2]private-vlan secondary 3 to 4

定义上行接口在promiscuous模式

[H3C-S5800]int g1/0/4
[H3C-S5800-GigabitEthernet1/0/4]port private-vlan 2 promiscuous

定义下行接口在host模式，VLAN3

[H3C-S5800]int range g1/0/1 to g1/0/2
[H3C-S5800-if-range]port private-vlan host
[H3C-S5800-if-range]port access vlan 3

定义下行接口在host模式，VLAN 4

[H3C-S5800]int range g1/0/3 g1/0/5
[H3C-S5800-if-range]port access vlan 4
[H3C-S5800-if-range]port private-vlan host
```