以太网交换安全
端口隔离
端口隔离技术,可以实现同一VLAN内端口之间的隔离
- 用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案
端口隔离技术原理
隔离类型
- 双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能
- 单向隔离:为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。缺省情况下,未配置端口单向隔离
隔离模式
- L2 [二层隔离三层互通]:隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通
- 采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信
- ALL [二层三层都隔离]:同一VLAN的不同端口下用户二三层彻底隔离无法通信
端口隔离配置命令
1. 使能端口隔离功能
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]缺省情况下,未使能端口隔离功能。如果不指定group-id参数时,默认加入的端口隔离组为1
2. 配置端口隔离模式
[Huawei] port-isolate mode { l2 | all }缺省情况下,端口隔离模式为L2,L2 端口隔离模式为二层隔离三层互通,all 端口隔离模式为二层三层都隔离
3. 配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离
4. 其他配置命令
display port-isolate group { group-id | all } #查看端口隔离组的配置
clear configuration port-isolate #命令一键式清除设备上所有的端口隔离配置
port-isolate exclude vlan #命令配置端口隔离功能生效时排除的VLANMAC地址表安全
MAC地址表项类型
MAC地址表项类型包括:
- 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失
- 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失
- 接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃
- 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化
- 配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃
MAC地址表安全功能
实现MAC地址表安全的方法
端口安全
MAC地址漂移防止与检测
MACsec
交换机流量控制
DHCP Snooping
IP Source Guard
