前言:
- 端口隔離可實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現隔離組內端口之間的二層數據的隔離
- 端口安全是一種在交換機接入層實施的安全機制,旨在通過控制端口的MAC地址學習行為,確保僅授權設備能夠接入網絡,并防御常見的二層攻擊
端口隔離
??傳統以太網中,所有設備處于同一廣播域,廣播幀(如ARP請求)會被泛洪到所有端口,導致廣播風暴風險,尤其在設備密集場景(如校園網、數據中心)可能引發網絡擁塞
? ?在一些共享環境中需防止用戶間互訪引發攻擊(如ARP欺騙、橫向滲透)等,于是便誕生了端口隔離
? 簡單來說,端口隔離就是通過限制二層直接通信,在保障必要連通性的同時,解決了廣播風暴、安全風險及資源浪費等問題
概況:
?端口隔離(Port Isolation)是一種在交換機上實現的網絡技術,通過限制同一設備上不同端口之間的二層直接通信(如數據鏈路層幀轉發),僅允許其與指定上行端口(如網關、核心交換機或服務器)通信,從而實現網絡流量的精細化控制??
二層通信阻斷:
交換機通過配置隔離組(Isolation Group),將多個端口劃分到同一組內
組內端口之間無法直接傳輸單播、組播或廣播幀(如ARP請求、ICMP報文等)
如端口A和端口B加入組1 ————無法互訪
? ? 端口C加入組2——可以與A B互訪
上行端口(Uplink Port):
隔離組內的所有流量必須通過指定的上行端口(如連接網關或核心交換機的端口)進行轉發
上行端口與其他端口之間通信不受限制,可作為組內設備訪問外部網絡的唯一出口
隔離類型:
單向隔離:允許A→B通信,但禁止B→A,可以實現不同端口隔離組的接口之間的隔離,(如監控端口僅接收數據,不主動發送)
雙向隔離:同一端口隔離組的接口之間互相隔離,不同端口隔離組的接口之間不隔離
隔離模式:
? ??二層隔離模式(L2)隔離同一VLAN內的廣播報文
? ??三層隔離模式(L3)同一VLAN的不同端口下用戶二三層徹底隔離無法通信
示例:
-
用戶A(端口1)嘗試訪問用戶B(端口2):
-
交換機檢查端口1和端口2是否屬于同一隔離組。
-
若屬于同一隔離組,直接丟棄數據包,阻斷通信。
-
-
用戶A(端口1)訪問網關(上行端口24):
-
數據幀從端口1發送至上行端口24,交換機正常轉發。
-
網關處理請求后,返回的流量通過上行端口24發回端口1,通信完成。
-
-
用戶A(端口1)發送廣播幀(如ARP請求):
-
廣播幀僅泛洪到同一隔離組內的其他端口,而非全網廣播
-
配置命令:
[Huawei]port-isolate mode {l2|all}
//l2僅二層隔離,all為L2+L3隔離
[Huawei-GigabitEthernet0/0/1]port-isolate enable [group <group-id>]
//加入隔離組
[Huawei-Ethernet0/0/2]am isolate interface <目標接口>
//單向隔離 阻斷本端口到目標端口的流量 僅支持l2隔離[Huawei] port-isolate mode l2
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-isolate enable group 1
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port-isolate enable group 1
[Huawei-Ethernet0/0/2] am isolate Ethernet0/0/3 黑洞MAC
MAC地址表記錄了交換機學習到的MAC地址與接口的對應關系,以及接口所屬VLAN等信息
?[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
當設備收到目的MAC或源MAC地址為黑洞MAC地址的報文,直接丟棄
端口安全
隨著網絡規模的擴大和接入設備的多樣化,網絡面臨諸多安全威脅,如非法設備接入、MAC地址欺騙、MAC泛洪攻擊等。傳統的基于IP或端口的訪問控制(如ACL)難以應對動態變化的接入設備,尤其是在企業內網、物聯網(IoT)等場景中,如何確保合法設備的安全接入成為關鍵需求,于是便產生了端口安全
端口安全(Port Security)是根據MAC地址對網絡流量進行控制和管理的安全功能,其核心目標是通過控制交換機端口的MAC地址學習行為
概況:
??端口安全功能不僅將MAC地址與端口綁定,還可以限制端口學到的MAC地址的數量。它將端口學習到的動態MAC地址轉換為安全MAC地址后,端口只允許源MAC地址在安全MAC地址列表里的報文通過,源MAC地址不在安全MAC地址列表里的報文被認為非法的用戶報文
安全MAC地址的類型:
| 安全靜態MAC | 管理員手動配置允許訪問端口的MAC地址列表,其他地址的流量將被阻斷 | 不會被老化,手動保存配置后重啟設備不會丟失 |
| 安全動態MAC | 端口自動學習首次連接設備的MAC地址,后續僅允許這些地址通信 | 設備重啟后表項會丟失,需要重新學習 缺省情況下不會被老化,只有在配置安全MAC的老化時間后才可以被老化 老化類型分為絕對時間老化和相對時間老化 |
| Sticky MAC | 動態學習的MAC地址會被轉換為靜態綁定,重啟后仍生效 | 不會被老化,手動保存配置后重啟設備不會丟失 |
超過MAC地址數量限制后
開啟端口安全后,端口默認只能學習一個安全MAC,可以手工設置端口學習安全MAC數目。端口上安全MAC地址數達到限制后,如果收到源MAC地址是安全MAC列表里不存在的MAC地址,無論目的MAC地址是否存在,交換機即認為有非法用戶攻擊,就會根據配置的動作對端口做保護處理違規處理機制(即保護處理)
原理:當檢測到非法MAC地址(超出數量或未綁定)時,觸發預定義的安全響應(只有三種)
| 模式 | 行為 |
|---|---|
| Shutdown | 關閉端口(需管理員手動啟用),徹底阻斷風險 |
| Restrict | 丟棄非法流量并生成告警日志,合法流量正常轉發 |
| Protect | 靜默丟棄非法流量,不記錄日志(適用于高隱蔽性場景) |
?配置命令:
[HUAWEI-GigabitEthernet0/0/1] port-security enable
在接口上開啟端口安全
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1
配置MAC地址數量為1
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action shutdown
配置安全保護動作 缺省情況下,端口安全保護動作為restrict
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA
手工配置安全靜態MAC地址表項
[Huawei-GigabitEthernet0/0/1] port-security aging-time time [type {absolute|inactivity}]
配置接口學習到的安全動態MAC地址的老化時間 默認不會老化
type后接老化模式 absolute絕對時間模式 inactivity空閑時間模式
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
開啟接口Sticky MAC功能[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 1
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA
)
)
裝飾器模式)
回溯篇4)
)
