端口隔离技术
产生的背景
1.以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
2.大型网络中,业务需求种类繁多,只通过VLAN实现二层隔离,会浪费有限的VLAN资源
端口隔离技术概述
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
实验
要求PC1与PC2同在一个VLAN里面但是不互通
基础配置:实现PC1与PC2互通
R1:
interface GigabitEthernet0/0/0
ip address 192.168.5.1 255.255.255.0 SW1:
interface GigabitEthernet0/0/1port link-type accessport default vlan 5interface GigabitEthernet0/0/2port link-type accessport default vlan 5interface GigabitEthernet0/0/3port link-type accessport default vlan 5开启端口隔离功能:实现同一个VLAN里面的PC也不能互通
(只有在同一个端口隔离组里面的端口,它们之间才可以隔离开)
SW1:
interface GigabitEthernet0/0/2port-isolate enable group 1interface GigabitEthernet0/0/3port-isolate enable group 1端口安全技术
产生的背景
1.企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC接入网络(限制MAC地址接入数量)。如果有员工试图在某个接口下级联一台小交换机或集线器从而扩展上网接口,那么这种行为应该被发现或被禁止
2.另一些企业还可能会要求只有MAC地址为可信任的终端发送的数据帧才允许被交换机转发到上层网络,员工不能私自更换位置(变更交换机的接入端口)
3.通过交换机的端口安全(port secuioty)特性可以解决这些问题
端口安全概述
1.通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现超限时的惩罚措施
2.端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口的交换机通信,从而增强设备的安全性。
MAC地址漂移
概述
1.MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址后学习到的MAC地址表项覆盖原MAC地址表项的现象。
2.当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象
3.正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
防止MAC地址漂移
如果是环路引起MAC地址漂移,治本的方法是部署防环技术,例如STP,消除二层环路。如果由于网络攻击等其他原因引起,则可能使用如下MAC地址防漂移特性
1.配置接口MAC地址学习优先级
当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项。
2.配置不允许相同优先级接口MAC地址漂移
当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时,后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项。
MAC地址漂移配置命令
流量抑制
概述
网络中存在的问题:
正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能。
当设备某个以太接口收到已知组播或已知单播报文时,如果某种报文流量过大则可能会对设备造成冲击,影响其他业务的正常处理
可用的解决方案:
流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
流量抑制工作原理
1.在接口入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
2.在VLAN视图下,设备支持对广播报文按比特速率进行流量抑制。设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
配置命令
