protected port

在同一台交换机上,要限制相同VLAN下的主机的通信,可以通过将交换机接口设置成Protected port来实现;配置了protected port接口的主机是不能相互通过的;

protected port可以在物理接口下进行配置,也可以在etherchannel下进行配置;

protected port可以限制Unicast、multicast、broadcast的流量;

通过命令switchport protected在接口模式下进行配置。

port blocking

默认情况下,当交换机收到未知目的MAC的流量时,会在所有的接口上广播该数据;port blocking可以限制接口拒绝未知目的MAC的流量;

Port blocking可以配置在物理接口下,也可以配置在etherchannel下;

port blocking可以限制Unicast、multicast的流量,但不能限制广播的流量;默认接口上是没有开启port blocking的;

可以通过命令switchport block {unicast | multicast}在接口模式下进行配置;

port security

port security可以控制交换机上特定接口与特定MAC地址的对应关系,同时还可以设置特定接口上对应的MAC地址的数量(默认情况下,交换机接口可以支持最大的MAC地址的数量是交换机所支持的数量)。

默认情况下,port security最多只允许1个MAC地址;

port security不能配置在SPAN接口,也不能配置在etherchannel;

port security通过控制源MAC地址来控制接口的流量,只转发合规的流量,对于违规的流量是不放行的,判断是否违规通过下面两个条件:

1、接口对应的MAC地址数量达到最大的设置的限制

2、接口上出现设置外的MAC地址

对于违规的流量可以采取以下几种动作:

protect

丢弃违规流量,正常流量照常转发;但不会通知有流量违规

restric

丢弃违规流量,正常流量照常转发;会发送SNMP trap,并会记录syslog

shutdown

默认的行为,会将接口变成err-disabled并shutdown,并关闭LED灯,发送SNMP trap,并会记录syslog

shutdown vlan

相应VLAN变成err-disabled,但接口不会关闭,发送SNMP trap,并记录syslog;

在交换机接口上定义安全的MAC地址有三种方法:

1、静态手工配置

静态添加的MAC地址,会保存在MAC地址表和running config文件中

2、动态学习

动态学习的MAC地址,只保存在MAC地址表,交换机重启后会消失

3、sticky secure MAC address

sticky将动态学习的MAC地址作为安全地址,并保存在running config文件中

port security aging time

在Port Security接口下设置MAC地址的老化时间,分两种类型:absolute和inactivity,其中absolute表示绝对时间,即无论该MAC地址是否在通信,超过老化时间后,立即从表中删除;inactivity为非活动时间,即该MAC地址在没有流量的时候超过一定的时间才会从表中删除;

配置老化时间的单位是分钟,范围是1-1440,对于sticky得到的MAC地址,不受老化时间的影响;

通过以下命令可以配置port security:

sw1(config)#int f0/1

sw1(config-if)#switchport mode access

sw1(config-if)#switchport port-security            //开启端口安全

sw1(config-if)#switchport port-security maximum 1   //设置最大的MAC地址数

sw1(config-if)#switchport port-security mac-address 0013.1a85.d160   //手工绑定MAC地址

sw1(config-if)#switchport port-security violation shutdown  //设置违规的行为

sw1(config-if)#switchport port-security aging time 1

sw1(config-if)#switchport port-security aging type inactivity

IP Source Guard

默认情况下,交换机在二层接口上转发数据时,只查看数据包的MAC地址,并不会查看数据包的IP地址,如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定,可以利用ip source guard来实现。

IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定,所以IP Source Guard在工作时,需要有一张IP和MAC的转发表,在这张表中,明确记录着哪些IP是可以转发的,哪些MAC可以被转发,其它不能被转发的统统丢弃。这表转发表称为IP source binding table,并且只能被IP source guard使用。而IP source binding table表,只有在交换机上开启DHCP snooping功能后,才会生成。

ip source guard的这张ip source binding table表中可以通过手工增加,也可以自动学习;如果是自动学习, 是通过DHCP SNOOPING学习到的,所有只有客户端是通过DHCP方式获取IP时才可以学习到。

IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定,所以IP Source Guard在工作时,需要有一张IP和MAC的转发表,在这张表中,明确记录着哪些IP是可以转发的,哪些MAC可以被转发,其它不能被转发的统统丢弃。这表转发表称为IP source binding table,并且只能被IP source guard使用。而IP source binding table表,只有在交换机上开启DHCP snooping功能后,才会生成。因此IP SOURCE GUARD和DHCP SNOOPING同时开启,可以防止一个主机使用其他主机的IP地址来***网络 。

IP source guard只能在二层接口上开启,不能在etherchannel上开启

当IP source guard根据IP转发在接口上开启,这个接口所在的VLAN必须开启DHCP SNOOPING

当IP source guard根据IP和MAC转发开启,必须同时开启port security和DHCP snooping

如果是在trunk上开启,DHCP snooping应该在所有VLAN上开启,过滤也对所有VLAN生效。