端口隔离
以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
隔离类型:
- 双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
- 单向隔离:实现不同端口隔离组的接口之间的隔离。缺省情况下,未配置端口单向隔离。
隔离模式:
- 二层隔离三层互通:隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
- 二层三层都隔离:同一VLAN的不同端口下用户二三层彻底隔离无法通信。
使能端口隔离功能
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]
缺省情况下,未使能端口隔离功能。如果不指定group-id参数时,默认加入的端口隔离组为1。
(可选)配置端口隔离模式
[Huawei] port-isolate mode { l2 | all }
缺省情况下,端口隔离模式为L2,L2 端口隔离模式为二层隔离三层互通,all 端口隔离模式为二层三层都隔离。
配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离。
MAC地址表安全
MAC地址表包含:
- 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
- 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
- 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
实现方法:
-
静态MAC地址表项。将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
-
黑洞MAC地址表项。防止黑客通过MAC地址攻击网络,交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。
-
动态MAC地址老化时间。合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长。
-
禁止MAC地址学习功能。对于网络环境固定的场景或者已经明确转发路径的场景,通过配置禁止MAC地址学习功能,可以限制非信任用户接入,防止MAC地址攻击,提高网络安全性。
-
限制MAC地址学习数量。在安全性较差的网路环境中,通过限制MAC地址学习数量,可以防止攻击者通过变换MAC地址进行攻击。
MAC地址表项配置
配置静态MAC表项
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id
指定的VLAN必须已经创建并且已经加入绑定的端口;指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址。
配置黑洞MAC表项
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
配置动态MAC表项的老化时间
[Huawei] mac-address aging-time aging-time
禁止MAC地址学习功能
关闭基于接口的MAC地址学习功能
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]
缺省情况下,接口的MAC地址学习功能是使能的:
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。
当配置动作为discard时ÿ
最低0.47元/天 解锁文章
2645
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
