华为交换机端口安全详解--端口隔离、环路检测与端口安全(1)(1).docVIP

华为交换机端口安全详解--端口隔离、环路检测与端口安全 一、端口隔离--port-isolate 组网需求 如图1所示，要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。 配置端口隔离功能 # 配置端口隔离模式为二层隔离三层互通。 Quidway system-view [Quidway] port-isolate mode l2 # 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。 Quidway system-view [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] port-isolate enable group 1 [Quidway-Ethernet0/0/1] quit [Quidway] interface ethernet 0/0/2 [Quidway-Ethernet0/0/2] port-isolate enable group 1 [Quidway-Ethernet0/0/2] quit ethernet 0/0/3 无需加入端口隔离组，处于隔离组的各个端口间不能通信 查看当前配置 disp cur # sysname Quidway # interface Ethernet0/0/1 port-isolate enable group 1 # interface Ethernet0/0/2 port-isolate enable group 1 # interface Ethernet0/0/3 # return 验证配置结果： PC1和PC2不能互相ping通，PC1和PC3可以互相ping通，PC2和PC3可以互相ping通。实现了需求。 二、端口防环--port-security 适用与华为交换机，防止下级环路，自动shutdown下级有环路的端口。 Huaweisystem view # loopback-detect enable 全局模式下，启用环路检测功能 # interface GigabitEthernet0/0/1 loopback-detect action shutdown 如果下级有环路，shutdown本端口 # interface GigabitEthernet0/0/2 loopback-detect action shutdown # interface GigabitEthernet0/0/3 loopback-detect action shutdown # …… 那如何检测与识别环路并定位呢？详见这个： /view/1599b6a22cc58bd63086bd5d.html 三、端口安全--port-security 在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC的的安全。在交换机中CAM（Content Addressable Memory，内容可寻址内存表）表，又叫MAC地址表，其中记录了与交换机相连的设备的MAC地址、端口号、所属vlan等对应关系。 （一）、MAC地址表分为三张 1、静态MAC地址表，手工绑定，优先级高于动态MAC地址表 2、动态MAC地址表，交换机收到数据帧后会将源mac学习到MAC地址表中 3、黑洞MAC地址表，手工绑定或自动学习，用于丢弃指定MAC地址 （二）、MAC地址表的管理命令 1、查看mac地址表 Huaweidisplay mac-address 2、配置静态mac地址表 [Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 将mac地址绑定到接口g0/0/1在vlan1中有效 3、配置黑洞mac地址表 [Huawei] mac-address blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的为此mac时丢弃帧 4、禁止端口学习mac地址，可以在端口或者vlan中禁止mac地址学习功能 [Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard 禁止学习mac地址，并将收到的所有帧丢弃，也可以在vlan中配置 [Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward 禁止学习mac地址，但是将收到帧以泛红方式转发（交换机对于未知目的mac地址转发原理），也可以在vlan中配置 5、限制MAC地址学习数量，可以端口或者