交換機高級特性
-
MUX-VLAN
- 主VLAN Principal VLAN
- 可以訪問其他所有從VLAN
- PS:一個MUX-VLAN只能有一個主VLAN
- 子VLAN Sub VLAN
- group VLAN :互通型VLAN,相同的VLAN之間能能互訪,也可以訪問主VLAN
- Separate VLAN:隔離型VLAN,相同的VLAN之間不能互訪,但可以訪問主VLAN。PS:一個MUX-VLAN只能有一個隔離型VLAN
- 主VLAN Principal VLAN
-
- 配置
- vlan 100 mux-vlan ###設置該VLAN爲主VLAN subordinate separate 20 ###設置VLAN20爲隔離型VLAN subordinate group 10 ###設置VLAN10爲組VLAN interface GigabitEthernet0/0/1 port link-type access port default vlan 10 port mux-vlan enable ###啓用mux-vlan的功能
- 樣例:有一臺交換機,連着12345678,8臺終端同一個網段,我想讓12互通、34互通、56互通,但是12、34、56直接相互隔離,包括二層和三層,然後7和8可以和123456都能實現通信。
- 答案: 1與2 :vlan 10 組vlan 3與4 :vlan 20 組vlan 5與6 :vlan 30 組vlan 7與8 :主vlan
- 配置
-
端口隔離
- 實現效果
- 相同隔離組的終端之間不能互訪;
- 不同的隔離組的終端之間可以互訪(相同VLAN);
- 特點
- 端口隔離可以設置隔離二層流量,還可以二層三層流量都隔離
- 默認只隔離二層流量
- 配置
- interface GigabitEthernet0/0/2 port link-type access port default vlan 10 port-isolate enable group 2 ###設置其屬於某個端口隔離組,默認屬於隔離組1; port-isolate mode l2 ###設置端口隔離的模式;
- 實現效果
-
端口安全
- 實現原理
- 通過對MAC地址進行管理,實現設備的固定接入
- 啓用了端口安全以後學習到的MAC地址表項的類型
- 安全靜態MAC:Enable端口安全時手工配置靜態MAC地址,保存後設備重啓地址不會老化和丟失
- 安全動態MAC:Enable端口安全但並未使用Sticky MAC地址,通過動態方式學習到的MAC地址會進行保存。缺省情況下不會老化,但設備地址會丟失,需要重新學習。
- Sticky MAC地址:Enable端口安全且使用了Sticky MAC地址,通過動態方式學習到的MAC地址會進行保存。缺省情況下不會老化,且設備重啓後不會丟失地址
- 如果有非法的MAC地址接入時,可以啓用相對應的處理動作
- restrict:丟棄源MAC地址不存在的報文,並上報告警
- 實現原理
-
-
- protect:只丟棄源MAC地址不存在的報文,不上報告警
-
-
-
- shutdown:接口狀態被置爲error-down,並上報告警
-
PS:默認情況下,接口關閉後不會自動回覆,只能由網絡管理員在接口視圖下restart重啓接口進行恢復
-
- 配置
- interface GigabitEthernet0/0/2 port-security enable ###啓用端口安全的功能 port-security protect-action shutdown ###學到的MAC地址數量超過了限制就執行處理動作 port-security max-mac-num 3 ###接口限制可學習到的MAC地址數量 port-security mac-address sticky ###啓用Sticky功能 error-down auto-recovery cause …… ###當接口被error-down動作以後,自動恢復接口
- 配置