端口隔离
csharp
# 端口隔离 默认是 二层隔离 port-isolate mode 默认 是 l2
# 端口隔离 port-isolate mode all 隔离二层、三次同时隔离》》二层隔离
》》arp 代理
ARP VLAN 代理就是为了解决这个"同一 IP 网段跨 VLAN"的特殊场景。
端口安全 又称使能安全端口 使能就是 开启
csharp
# 进入接口视图
interface GigabitEthernet 0/0/1
# 启用端口安全 # 执行"使能端口安全"命令后 # 开启使能 配置后:端口变成"受控状态"
port-security enable
> 接口状态: [端口安全已启用]
> 允许设备: 只允许第一个连接设备的MAC
> 设备数量: 最多1个(默认值)
> 违规处理:> 保护动作(默认protect,静默丢弃)
interface GigabitEthernet 0/0/1
port-security enable
port-security max-mac-num 3 # 根据实际情况设置
port-security mac-address sticky # 自动学习并固化
# 设置最大MAC地址数(默认1)
port-security max-mac-num 5
# 设置违规后的处理动作
port-security protect-action {protect | restrict | shutdown}
# 1. 静态绑定(最安全)
port-security mac-address static 00e0-fc12-3456 vlan 10
# 2. 粘性学习(推荐)
port-security mac-address sticky # 启用粘性学习
# 之后端口自动学习的MAC会自动转为静态条目
# 3. 查看安全MAC地址表
display port-security mac-address
》》mac-limit(MAC地址限制)
MAC地址漂移
csharp
# 查看MAC地址漂移记录
# 华为/华三
display mac-address flapping record
# 显示最近发生的漂移事件
display mac-address flapping 00e0-fc12-3456
# 查看特定MAC的漂移历史