采用端口隔离功能,可以实现同一VLAN内端口之间的隔离

端口隔离 可以二层隔离 也可以三层隔离

[Huawei]port-isolate mode ? all All l2 L2 only

缺省情况下,端口隔离模式为二层隔离三层互通。

如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。

S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2750、S5700LI、S5720LI、S5720S-LI、S5710-X-LI、S5700S-LI、S6720LI、S6720S-LI仅支持二层隔离三层互通。

[Huawei-GigabitEthernet0/0/2]port-isolate enable group 1 //将当前端口加入到端口隔离组1中

[Huawei-GigabitEthernet0/0/2]port-isolate enable group ? INTEGER<1-64> Port isolate group-id //华为交换机默认最多支持64个端口隔离组

同一个端口隔离组中的PC机不能通信(二层不通信或二层三层都不通信)

配置注意事项: S系列交换机均支持配置二层隔离三层互通模式。 S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机仅V100R006C05版本仅S2700SI、S2700EI不支持二层三层都隔离模式,V100R002及后续版本S1720、S2720、S2750EI、S5700LI、S5700S-LI不支持二层三层都隔离模式。 如果不是特殊情况要求,建议用户不要将上行口和下行口加入到同一端口隔离组中,否则上行口和下行口之间不能相互通信。

端口安全

现网中有非法用户对接入设备、汇聚交换机、核心交换机进行一个非法的操作

如何去防止非法用户对接入设备或汇聚设备进行非法攻击

限制MAC地址的学习 并不是禁止学习(真正的禁学习 配置交换机接口的学习MAC地址上限)

接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。 汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。

一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信

[Huawei]dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/-
5489-98d5-5aa8 10 - - Eth0/0/1 dynamic 0/-
5489-980b-759d 10 - - Eth0/0/3 dynamic 0/-

Total matching items on slot 0 displayed = 3

1.安全动态MAC地址 [Huawei-Ethernet0/0/1]port-security enable //开启端口安全功能 MAC地址不老化 交换机仍然可以学习非法用户的MAC地址

一台交换机上分别接入了PC1 PC2 PC3三台主机 开启端口安全 PC1和PC3通信

[Huawei]dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security - 默认情况下这个表项不会老化 配置老化时间 5489-980b-759d 10 - - Eth0/0/3 security - 重启设备或断开连接MAC地址都消失

Total matching items on slot 0 displayed = 2

MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/- 没有老化

Total matching items on slot 0 displayed = 1

过了五分钟 MAC地址表的变化 dynamic 学习到的表项没有了

[Huawei]dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-980b-759d 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

断开e0/0/3接口的连接(MAC地址表没有 重启设备MAC地址表也没有):

[Huawei]dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -

Total matching items on slot 0 displayed = 1

交换机上接入了非法用记PC4 (5489-9859-09a1) 依然可以学到

[Huawei]dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-9859-09a1 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

2.Sticky MAC地址

[Huawei-Ethernet0/0/3]port-security mac-address sticky //配置接口的端口安全 sticky mac方式

一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信

[Huawei]display mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky - 不老化 手工保存后 重启后表项存在 5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky -

Total matching items on slot 0 displayed = 3

<Huawei>dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - 接口3断开物理连接 表项存在

Total matching items on slot 0 displayed = 3

接口3上接入了非法用户PC4(5489-9859-09a1)

<Huawei>dis mac-address MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - MAC地址表项没有变 防止非法用户的接入

Total matching items on slot 0 displayed = 3

3.安全静态MAC地址(学习MAC地址上限默认是1 )

[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10 Error: Security MAC number or Sticky MAC number reach the upper limit. //MAC地址表学习的数目达到上限

配置下面这个命令之前一定要这个接口上没有MAC地址表项 如果有,则提示上面错误

[Huawei-Ethernet0/0/1]port-security mac-address sticky [Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10 //配置端口安全 静态绑定

无论配置上面这三个端口安全中的哪一种 如果有非法用户接入 不会提示

[Huawei-Ethernet0/0/3]port-security protect-action ? //配置端口安全学习MAC地址后达到上限 告警 protect Discard packets //只丢弃源MAC地址不存在的报文,不上报告警。 restrict Discard packets and warning // 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 shutdown Shutdown //接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

[Huawei-GigabitEthernet0/0/1]port-security enable [Huawei-GigabitEthernet0/0/1]port-security max-mac-num 3 //配置当前接口学习MAC地址数目上限为3