第三十五章以太网交换安全
|
HCIP
|
梧桐树下的你
|

465 字
|
6 分钟

端口隔离技术概述

  • 采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
#配置命令
#使能端口隔离功能
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

#(可选)配置端口隔离模式
[Huawei] port-isolate mode { l2 | all }

#配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离。

MAC地址表项类型

  • 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失
  • 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
  • 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
#配置命令
#配置静态MAC表项
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id

#配置黑洞MAC表项
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]

#配置动态MAC表项的老化时间
[Huawei] mac-address aging-time aging-time

#禁止MAC地址学习功能
#关闭基于接口的MAC地址学习功能
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

#关闭基于VLAN的MAC地址学习功能
[Huawei-vlan2] mac-address learning disable

#限制MAC地址学习数量
#配置基于接口限制MAC地址学习数
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num

#配置当MAC地址数达到限制后,对报文应采取的动作
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

#配置当MAC地址数达到限制后是否进行告警
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

#配置基于VLAN限制MAC地址学习数
[Huawei-vlan2] mac-limit maximum max-num
#端口安全配置命令
#使能端口安全功能
[Huawei-GigabitEthernet0/0/1] port-security enable

#配置端口安全动态MAC学习限制数量
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

#(可选)手工配置安全静态MAC地址表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id

#(可选)配置端口安全保护动作
[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }

DHCP Snooping信任功能

  • DHCP Snooping的信任功能,能够保证DHCP客户端从合法的DHCP服务器获取IP地址。
  • DHCP Snooping信任功能将接口分为信任接口和非信任接口
DHCP Snooping配置命令介绍 
#全局使能DHCP Snooping功能
[Huawei] dhcp snooping enable [ ipv4 | ipv6 ]

#VLAN视图下使能DHCP Snooping功能
[Huawei-vlan2] dhcp snooping enable

#VLAN视图下配置接口为“信任”状态
[Huawei-vlan2] dhcp snooping trusted interface interface-type interface-number

#接口视图下使能DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1] dhcp snooping enable

#接口视图下配置接口为“信任”状态
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted

#(可选)配置丢弃GIADDR字段非零的DHCP报文
[Huawei] dhcp snooping check dhcp-giaddr enable vlan { vlan-id1 [ to vlan-id2 ] }

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																				
					
									

			

			
			
		

	






上一篇
下一篇