端口防护有隔离组和MAC表项两个功能。
配置隔离组,可以实现报文之间的二、三层隔离,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
NAC3.13版本适用。
配置端口防护功能可能会导致配置此功能的端口无法通讯。
在【安全配置】-【流量安全】-【端口防护】-【隔离组】里,点击新增,依次配置名称、描述。选择隔离类型、选择交换机和端口,如下图所示:
单向隔离是指从“源端口”发送的报文不能到达“目的端口”,但从“目的端口”发送的报文可以到达“源端口”。
双向隔离是指隔离组内的任一端口发送的报文不能到达隔离组内的其他端口,但可以到达隔离组外的其他端口。
注意:
1.端口隔离只支持单台交换机端口隔离,不支持跨交换机。
2.配置了端口隔离的端口,不建议再继续配置重定向、镜像、有线认证、策略路由、横向阻断、备份链路、ARP防御、DHCP防御、组播管理等功能。
在【安全配置】-【流量安全】-【端口防护】-【MAC表项限制】里,点击新增,依次配置名称、描述。选择端口组、设置单接口学习MAC数量限制、选择处理动作,如下图所示:
处理动作为丢弃数据包时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址并且不再转发处理新MAC的数据包;处理动作为转发数据报文时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址,但还会转发处理新MAC的数据包。
注:RS6500-54Q-El-48X、RS6520-54Q-El-48X不支持配量。
1.隔离组配置
2.MAC表项限制
