1、端口安全:
端口安全:通过将接口学习到的动态mac地址转换成安全mac地址,阻止用户私自接入到接入层交换机。
安全地址分类
安全动态mac地址、安全静态mac地址、sticky mac地址。
1、安全动态mac地址配置:
int g/0/0/1
port-security enable 启用端口安全,默认只允许一个mac地址进入。
port-security max-mac-num 2 允许两个mac
2、sticky mac地址配置
port-security enable
port-security mac-address sticky 开启mac地址绑定,自动粘贴mac。
3、安全静态mac地址
port-security mac-address sticky 1232-1231-1232-1232 vlan 1手动绑定mac地址
4、修改端口安全模式
port-security protect-action shutdown 将动作改为shutdown
调试:
dis mac-address
2、端口镜像:
作用:
1、用来方便管理员维护产看网络流量。
2、用来配合IDS、堡垒机等安全设备使用。
IDS(入侵检测系统):分析进入服务的数据,是否存在黑客攻击.堡垒机:当数据包进过核心层交换机时,使用端口镜像,将数据反射到堡垒机当中,对数据进行记录。
将交换机g/0/0/1口配置为观察接口(该接口IDS,堡垒机等)
sw:
observe-port 1 interface g0/0/1 #1:为观察组。
int g0/0/3
port-mirroring to observe 1 both
将g/0/0/1口进去和出来的流量复制一份发给观察组1.
注:由于软件bug,部分抓包不能实现。
3、端口隔离
一个端口可以同时加入多个隔离组,trunk也可以加入隔离组,隔离端口是华为,华三特有,思科使用复杂的PVLAN解决。
工作原理:同一台的交换机相同的隔离端口不能互访,隔离组本地有效。一旦启用隔离口,所有默认隔离端口划分为1
查看配置:dis port-isolate group all
配置:
int g0/0/2
port-isolate enable group 2
int g0/0/3
port-isolate enable group 2
实验
配置接口 GE0/0/1 和 GE0/0/2 的接口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通
<Switch1>system-view
[Switch1]port-isolate mode L2 //端口隔离模式选择 L2
[Switch1]interface GigabitEthernet 0/0/1 //进入 GE0 接口
[Switch1-GigabitEthernet0/0/1]port-isolate enable group 1 //接口隔离选择默认组 1
[Switch1-GigabitEthernet0/0/1]quit
[Switch1]interface GigabitEthernet 0/0/2 //进入 GE2 接口
[Switch1-GigabitEthernet0/0/2]port-isolate enable group 1 //接口隔离选择默认组 1
[Switch1-GigabitEthernet0/0/2]quit
端口三不进行配置。
PC1和PC2不能互相ping通。PC2和PC3可以互相ping通。
同一隔离组之间不可以相互通信,不在同一隔离组之间可以相互通信。