前言:
- 端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的二层数据的隔离
- 端口安全是一种在交换机接入层实施的安全机制,旨在通过控制端口的MAC地址学习行为,确保仅授权设备能够接入网络,并防御常见的二层攻击
端口隔离
传统以太网中,所有设备处于同一广播域,广播帧(如ARP请求)会被泛洪到所有端口,导致广播风暴风险,尤其在设备密集场景(如校园网、数据中心)可能引发网络拥塞
在一些共享环境中需防止用户间互访引发攻击(如ARP欺骗、横向渗透)等,于是便诞生了端口隔离
简单来说,端口隔离就是通过限制二层直接通信,在保障必要连通性的同时,解决了广播风暴、安全风险及资源浪费等问题
概况:
端口隔离(Port Isolation)是一种在交换机上实现的网络技术,通过限制同一设备上不同端口之间的二层直接通信(如数据链路层帧转发),仅允许其与指定上行端口(如网关、核心交换机或服务器)通信,从而实现网络流量的精细化控制
二层通信阻断:
交换机通过配置隔离组(Isolation Group),将多个端口划分到同一组内
组内端口之间无法直接传输单播、组播或广播帧(如ARP请求、ICMP报文等)
如端口A和端口B加入组1 ————无法互访
端口C加入组2——可以与A B互访
上行端口(Uplink Port):
隔离组内的所有流量必须通过指定的上行端口(如连接网关或核心交换机的端口)进行转发
上行端口与其他端口之间通信不受限制,可作为组内设备访问外部网络的唯一出口
隔离类型:
单向隔离:允许A→B通信,但禁止B→A,可以实现不同端口隔离组的接口之间的隔离,(如监控端口仅接收数据,不主动发送)
双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离
隔离模式:
二层隔离模式(L2)隔离同一VLAN内的广播报文
三层隔离模式(L3)同一VLAN的不同端口下用户二三层彻底隔离无法通信
示例:
用户A(端口1)尝试访问用户B(端口2):
交换机检查端口1和端口2是否属于同一隔离组。
若属于同一隔离组,直接丢弃数据包,阻断通信。
用户A(端口1)访问网关(上行端口24):
数据帧从端口1发送至上行端口24,交换机正常转发。
网关处理请求后,返回的流量通过上行端口24发回端口1,通信完成。
用户A(端口1)发送广播帧(如ARP请求):
广播帧仅泛洪到同一隔离组内的其他端口,而非全网广播
配置命令:
[Huawei]port-isolate mode {l2|all}
//l2仅二层隔离,all为L2+L3隔离
[Huawei-GigabitEthernet0/0/1]port-isolate enable [group <group-id>]
//加入隔离组
[Huawei-Ethernet0/0/2]am isolate interface <目标接口>
//单向隔离 阻断本端口到目标端口的流量 仅支持l2隔离[Huawei] port-isolate mode l2
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-isolate enable group 1
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port-isolate enable group 1
[Huawei-Ethernet0/0/2] am isolate Ethernet0/0/3 黑洞MAC
MAC地址表记录了交换机学习到的MAC地址与接口的对应关系,以及接口所属VLAN等信息
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃
端口安全
随着网络规模的扩大和接入设备的多样化,网络面临诸多安全威胁,如非法设备接入、MAC地址欺骗、MAC泛洪攻击等。传统的基于IP或端口的访问控制(如ACL)难以应对动态变化的接入设备,尤其是在企业内网、物联网(IoT)等场景中,如何确保合法设备的安全接入成为关键需求,于是便产生了端口安全
端口安全(Port Security)是根据MAC地址对网络流量进行控制和管理的安全功能,其核心目标是通过控制交换机端口的MAC地址学习行为
概况:
端口安全功能不仅将MAC地址与端口绑定,还可以限制端口学到的MAC地址的数量。它将端口学习到的动态MAC地址转换为安全MAC地址后,端口只允许源MAC地址在安全MAC地址列表里的报文通过,源MAC地址不在安全MAC地址列表里的报文被认为非法的用户报文
安全MAC地址的类型:
| 安全静态MAC | 管理员手动配置允许访问端口的MAC地址列表,其他地址的流量将被阻断 | 不会被老化,手动保存配置后重启设备不会丢失 |
| 安全动态MAC | 端口自动学习首次连接设备的MAC地址,后续仅允许这些地址通信 | 设备重启后表项会丢失,需要重新学习 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化 老化类型分为绝对时间老化和相对时间老化 |
| Sticky MAC | 动态学习的MAC地址会被转换为静态绑定,重启后仍生效 | 不会被老化,手动保存配置后重启设备不会丢失 |
超过MAC地址数量限制后
开启端口安全后,端口默认只能学习一个安全MAC,可以手工设置端口学习安全MAC数目。端口上安全MAC地址数达到限制后,如果收到源MAC地址是安全MAC列表里不存在的MAC地址,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对端口做保护处理违规处理机制(即保护处理)
原理:当检测到非法MAC地址(超出数量或未绑定)时,触发预定义的安全响应(只有三种)
| 模式 | 行为 |
|---|---|
| Shutdown | 关闭端口(需管理员手动启用),彻底阻断风险 |
| Restrict | 丢弃非法流量并生成告警日志,合法流量正常转发 |
| Protect | 静默丢弃非法流量,不记录日志(适用于高隐蔽性场景) |
配置命令:
[HUAWEI-GigabitEthernet0/0/1] port-security enable
在接口上开启端口安全
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1
配置MAC地址数量为1
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action shutdown
配置安全保护动作 缺省情况下,端口安全保护动作为restrict
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA
手工配置安全静态MAC地址表项
[Huawei-GigabitEthernet0/0/1] port-security aging-time time [type {absolute|inactivity}]
配置接口学习到的安全动态MAC地址的老化时间 默认不会老化
type后接老化模式 absolute绝对时间模式 inactivity空闲时间模式
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
开启接口Sticky MAC功能[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 1
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky AA-AA-AA-AA-AA-AA