由于不可公开的原因,交换机接入一个外单位网络,但该网络中有一段的IP与自己网络冲突,就是说要把冲突的IP挡在外面,不让进来,但不能阻止正常的网络联系。这台交换机是H3C 5110,因为要与外单位网络通讯的是自己内网的几台特定电脑,它们同时也要用自己的内网,虽然设置VLAN比较好,这台电脑设置混合端口模式就行了,不过考虑到位置变动以及冲突IP段的干扰,因此仅设置VLAN与混合端口是不够的,当然我这次没有设置VLAN,只是启用了端口安全与访问控制列表。
先用命令port-security enable启用端口安全,再进入要设置安全的端口,使用命令port-security port-mode secure,将端口安全应只用到该端口并设置端口安全的模式为secure,即不自动学习MAC,只有安全MAC与手工配置的MAC能通过,既然不自动学习,就要指定MAC,在该端口上绑定一个固定MAC:mac-address static mac vlan vlan-id,这是绑一个静态MAC地址,是该交换机连接的一台路由器的MAC地址,我只想知道它的MAC,其他的一律不进来。另,安全MAC有另外的命令:port-security mac-address security...,具体的就不多说了。
然后就是设置ACL,只允许进来的流量与指定的几台电脑联系,设置permit目标地址就行,其余的统统deny。H3C的ACL,默认在最后没有deny all,只能手动加,否则不符合规则的最后都会被默认放行。最后是将ACL应用到指定端口上。5110不支持outbound方向,只能放在inound进入交换机方向。
这样做完就行了,冲突网段的IP与MAC不会从设置的端口广播进来。如果仅设置ACL,虽然不能通讯,但冲突IP与MAC还是会广播进来,占据ARP表。另外,如果只设置端口学习MAC的最大数量为0和超过最大学习数量就禁止转发(mac-address max-mac-count 0和mac-address max-mac-count disable-forwarding),至少在5110上没有用,非法MAC与IP还是会广播进来,占据交换机的ARP表,前面这个最大学习数与端口安全的学习数是无关,当然我前面没有设置端口安全自动学习,而用secure模式限制。
另外,黑洞MAC,这型号的交换机也是支持的,只是黑洞MAC也是丢弃目的地址是列表中的MAC,仍然会学习到黑洞列表中的MAC,所以也不合适。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2184.html
