1、端口隔离
-
PC1与PC2属于同一个VLAN ,但是要求在二层不能互通(但允许三层互通)。
-
PC1与PC3不管什么情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。
2、端口隔离技术概述
3、端口隔离技术原理
4、端口隔离配置命令
使能端口隔离:port-isolate enable [group group-id]设置隔离模式:port-isolate mode {l2 | all}配置单向隔离:am isolate interface-type interface-number验证:通过display port-isolate group查看隔离组端口,ping 测试验证互通性。
5、端口隔离配置举例
PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。
[Switch] vlan 2[Switch] port-isolate mode all[Switch] interface GigabitEthernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type access[Switch-GigabitEthernet0/0/1] port default vlan 2[Switch-GigabitEthernet0/0/1] port-isolate enable group 2[Switch] interface GigabitEthernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type access[Switch-GigabitEthernet0/0/2] port default vlan 2[Switch-GigabitEthernet0/0/2] port-isolate enable group 2[Switch] interface GigabitEthernet 0/0/3[Switch-GigabitEthernet0/0/3] port link-type access[Switch-GigabitEthernet0/0/3] port default vlan 2
6、MAC 地址表安全
表项类型:
-
静态 MAC:手工配置,不老化,绑定接口后其他接口收到相同 MAC 报文会丢弃。
-
动态 MAC:接口学习获得,可老化,设备重启丢失。
-
黑洞 MAC:手工配置,丢弃源 / 目的 MAC 匹配的报文。
安全功能:
-
禁止 MAC 学习:mac-address learning disable
-
限制学习数量:mac-limit maximum max-num
-
配置老化时间:mac-address aging-time aging-time
7、MAC地址表安全配置举例
实验要求:
-
网络拓扑基本配置已完成,用户网络1属于VLAN 10,用户网络2属于VLAN 20。
-
在Switch3上配置禁止学习来自用户网络1的MAC地址。
-
在Switch3上配置限制用户网络2的MAC地址学习数量。
在接口视图下配置
[] mac-address learning disable action discard[] mac-limit maximum 100[] mac-limit alarm enable[] mac-limit action discard
在VLAN视图下配置
# 在VLAN 10上配置禁止MAC地址学习[Switch3-vlan10] mac-address learning disable#在VLAN 20上配置限制MAC地址学习数量与告警[Switch3-vlan20] mac-limit maximum 100 alarm enable
8、端口安全
-
技术原理:限制接口 MAC 学习数量,将动态 MAC 转换为安全 MAC(安全动态、安全静态、Sticky MAC)。
-
保护动作:
-
restrict:丢弃非法报文并告警。
-
protect:丢弃非法报文不告警。
-
shutdown:接口置为 error-down 并告警。
-
配置命令:
-
使能端口安全:port-security enable
-
设置最大 MAC 数:port-security max-mac-num max-number
-
配置 Sticky MAC:port-security mac-address sticky
9、端口安全配置举例:安全动态MAC
配置要求:
-
在Switch1上部署端口安全。
-
GE0/0/1及GE0/0/2接口将学习MAC地址的数量限制为1。当该接口连接多台PC时,Switch1需发出告警,且要求此时接口依然能正常转发合法PC的数据帧。
-
GE0/0/3接口将学习MAC地址的数量限制为2,并且当学习到的MAC地址数超出接口限制数时,交换机需发出告警,并且将接口关闭。
[Switch1] interface GigabitEthernet 0/0/1[Switch1-GigabitEthernet 0/0/1] port-security enable[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict[Switch1] interface GigabitEthernet 0/0/2[Switch1-GigabitEthernet 0/0/2] port-security enable[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict[Switch1] interface GigabitEthernet 0/0/3[Switch1-GigabitEthernet 0/0/3] port-security enable[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown
10、端口安全配置举例:Sticky MAC
配置要求:
-
在Switch上部署端口安全。将GE0/0/1~GE0/0/3都激活端口安全。
-
GE0/0/1及GE0/0/2接口都将学习MAC地址的数量限制为1,并将在这两个接口上学习到的动态安全MAC地址转换为Sticky MAC地址。
-
对于GE0/0/3将学习MAC地址的数量限制为1,但是通过手工的方式为该接口创建一个sticky MAC地址表项,将该接口与MAC地址5489-98ac-71a9绑定。各接口违例惩罚保持缺省。
[Switch] interface GigabitEthernet 0/0/1[Switch-GigabitEthernet 0/0/1] port-security enable[Switch-GigabitEthernet 0/0/1] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/1] port-security mac-address sticky[Switch] interface GigabitEthernet 0/0/2[Switch-GigabitEthernet 0/0/2] port-security enable[Switch-GigabitEthernet 0/0/2] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/2] port-security mac-address sticky[Switch] interface GigabitEthernet 0/0/3[Switch-GigabitEthernet 0/0/3] port-security enable[Switch-GigabitEthernet 0/0/3] port-security max-mac-num 1[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky 5489-98ac-71a9 vlan 1
原文始发于微信公众号(运维星火燎原):以太网交换安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
2025年6月24日 上午9:33 1F
请问有没这种功能的管理系统,降低配置和运维的复杂度。
2025年6月24日 下午8:38 B1
@ Jason 没有哦