注意:
- 3560支持bps (Bits Per Second) 和pps (Packets Per Second)
- 使用show storm-control [interface-id] [broadcast | multicast | unicast]查看相关信息
Protected Ports
作用:过滤同一个交换机上的两个保护端口间的流量(两个不同交换机保护端口间的流量不过滤),保护端口和非保护端口的流量不过滤,若要在保护端口间进行数据包交换,必须用到3层设备
接口配置:
| Catalyst 3550&3560 | 说明 |
| switchport protected | 配置端口为保护端口 |
注意:
- 使用show interfaces interface-id switchport查看
- 可以与switchport block unicast 和 switchport block multicast 配合使用,使未知目的地址的单播报和多播报不会泛洪到保护端口
Port Blocking
作用:使未知目的MAC地址的单播报和多播报不会泛洪到指定端口
接口配置:
| Catalyst 3550&3560 | 说明 |
| switchport block multicast | 防止未知的多播报发送到本端口 |
| switchport block unicast | 防止未知的单播报发送到本端口 |
Port Security
作用:设置端口mac地址的安全,port security模式有三种
- 静态MAC地址安全:手动配置接口允许的MAC地址,
- 动态MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址仅仅存在于MAC地址表,交换机重启后消失
- Sticky MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址会自动写入配置文件,交换机重启后仍然存在
当违反安全规定时,接口的模式:
- protect:当超过了接口允许的MAC地址数量,则进入protect模式,丢弃所有未知的MAC地址的数据包
- restrict:当超过了接口允许的MAC地址数量,则进入restrict模式,并发送一条SNMP trap
- shutdown:当超过了接口允许的MAC地址数量,则接口进入error-disabled模式,并down掉口,可以通过shutdown和no shutdown来重新up接口,这是port-security配置的默认模式
- shutdown vlan:这是3560才支持的模式,只将违法的vlan进入error-disable模式,而不是整个接口进入error-disable模式
接口配置:
| Catalyst 3550 | Catalyst 3560 | 说明 |
| switchport mode {access | trunk} | switchport mode {access | trunk} | 接口默认模式(dynamic desirable)不支持port-security |
| switchport port-security | switchport port-security | 端口启用port-security |
| switchport port-security maximum value [vlan [vlan-list]] | switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] |
[可选配置]端口上最大可以通过的 MAC 地址数量,默认情况下为1 vlan:在trunk模式下,配置某个VLAN最大可以通过的MAC地址数量 access:在access模式下,指定VLAN作为一个accessVLAN. voice:在access模式下,指定VLAN作为一个语音VLAN |
|
|
|
| switchport port-security violation {protect | restrict | shutdown } | switchport port-security violation {protect | restrict | shutdown | shutdown vlan} | [可选配置]配置超过接口最大允许的MAC地址数量时的处理方法,如果不配置,则默认为shutdown模式 |
注意:
- 接口默认模式(dynamic desirable)不支持port-security,必须指定接口为access或trunk模式
-
除了手动通过shut和no shut接口来启用error-disable接口外还可以配置接口自动恢复状态:接口恢复的全局配置:
Catalyst 3550&3560 说明 errdisable recovery interval 30
errdisable recovery cause psecure-violation配置因为port security而进入error-disable状态的接口在指定的时间间隔后恢复 - 使用show port-security interface interface [address]查看port-security相关配置,和port-security的MAC地址表
- 使用clear port-security {all | configured | dynamic | sticky} 删除port-security的MAC地址表
MAC ACL
作用:在接口上对MAC地址进行过滤,或过滤非IP的流量
全局配置:创建MAC ACL
| Catalyst 3550&3560 | 说明 |
| {deny | permit} {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask} [type mask | lsap lsap mask | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] |
aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp为非IP的协议 |
接口配置:将MAC ACL应用到2层接口
| Catalyst 3550&3560 | 说明 |
| mac access-group {name} {in} | MAC ACL只能应用在进站方向(inbound) |
注意:
- 使用show mac access-group [interface interface-id]查看相关配置
VLAN Maps
作用:在VLAN上控制过滤
步骤一:全局配置:创建一个VLAN Map
| Catalyst 3550&3560 | 说明 |
| vlan access-map name [number] | 创建VLAN map,number为vlan map条目的顺序 |
| match {ip | mac} address {name | number} [name | number] | 匹配IP ACL或MAC ACL,若要匹配非IP流量,必须使用MAC ACL |
| action {drop | forward} | 配置匹配后的行为,是前传还是丢弃 |
步骤二:全局配置:将VLAN map应用到vlan上
| Catalyst 3550&3560 | 说明 |
| vlan filter mapname vlan-list list | 应用VLAN map到一个或多个vlan上,vlan-list可以是单个VLAN ID (22), 一个连续的VLAN ID (10-22), 某几个 VLAN IDs (12, 22, 30). |
注意:
-
ACL匹配后的默认行为:
1.如果VLAN map至少有一条语句匹配数据包类型(IP或MAC),但是数据包没有匹配任何详细的数据包,则默认的行为是就其
2.如果未匹配任何数据类型,则默认的行为是前传数据包 - 若IP ACL或MAC ACL应用到了接口上,那么接口ACL优先级大于VLAN Map
- 一个已经应用到端口上的IP ACL或者MAC ACL条目,不能再应用到VLAN Map上
静态MAC地址绑定
| Catalyst 3550&3560 | 说明 |
| mac address-table static mac-addr vlan vlan-id interface interface-id | 配置接口的静态MAC地址,静态MAC地址优先于动态MAC地址 |
单播MAC地址过滤
| Catalyst 3550&3560 | 说明 |
| mac address-table static mac-addr vlan vlan-id drop | 过滤源(source)和目的(destination)的MAC地址 |
Spanning-Tree Features
全局配置:
| Catalyst 3550&3560 | 说明 |
| spanning-tree portfast bpduguard default | 在portfast的接口开启bpduguard特性,当portfast接口收到bpdu,则接口成为error-disable状态 |
| spanning-tree portfast bpdufilter default | 在portfast的接口开启bpdufilter特性,portfast接口会过滤收到bpdu |
| spanning-tree uplinkfast [max-update-rate pkts-per-second] | 交换机开启uplinkfast特性,自动应用于所有的vlan,仅支持PVST+模式 |
| spanning-tree backbonefast | 交换机开启backbonefast特性 |
| spanning-tree etherchannel guard misconfig | 开启etherchannel guard 防止以太通道配置错误 |
| spanning-tree guard root | 防止交换机意外的成为生成树的根 |
| spanning-tree loopguard default | 防止交换机端口意外成为DR(指定端口),而造成环路 |
接口配置:
| Catalyst 3550&3560 | 说明 |
| spanning-tree portfast [trunk] | 配置接口为Port Fast,连接到服务器,工作站,加关键字trunk能够在trunk端口运行Port Fast |