标签:限制 重启 设备 val 通过 Mux-vlan png 不同 静态
早期的网络中一般使用二层交换来搭建局域网,不同局域网之间用路由器进行通信,但随着网络业务的快速发展,局域网间的访问需求越来越大,使用路由器成本过高,而且转发性能低下,接口数量少等特点,于是三层交换机应运而生。
三层交换机既有二层交换机的功能,并且硬件上支持三层转发。
将IP地址解析为MAC地址的协议。
分为四种:
动态ARP
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,适用于拓扑结构复杂、通信实时性要求高的网络。
静态ARP
手工建立的IP地址和MAC地址之间固定的映射关系,不会老化,可以覆盖动态ARP表项
免费ARP
设备使用自己的IP地址作为目的IP地址发送ARP请求,检查是否有IP冲突。
Proxy ARP0
如果ARP请求跨网段,网关将回复自己的MAC地址。
以PC A ping PC B为例:
是三层逻辑接口,配置IP地址后可以实现VLAN间互通和部署三层业务。
简称链路聚合,思科中又称链路捆绑,就是将多各物理接口捆绑为一个逻辑接口。好处是增加了带宽,提高了可靠性,还可以进行负载分担。
分为两种:
手工模式
手工配置,无法选择活动链路和备份链路的具体数目。
LACP模式
又称为M:N模式,先配置系统优先级选出主动端,再根据接口优先级(值越小优先级越高,默认32768)选择M和N两种链路,优先级较高的接口会被选为M,即活动链路,优先级较低的被选为N,即备份链路。当活动链路出现故障时,备份链路经过抢占延时后顶上。
通过MUX VLAN提供的二层流量隔离机制,实现企业内部员工之间或和企业用户之间的隔离
MUX VLAN分为:
Principal VLAN(主VLAN)
能与MUX VLAN内的所有VLAN进行通信。
Subordinate VLAN(从VLAN)
Separate VLAN(隔离型从VLAN)
只能和主VLAN通信,与其它类型的VLAN完全隔离,内部也完全隔离
Group VLAN(互通型从VLAN)
可以和主VLAN通信,与其它从VLAN隔离,内部不隔离
同一VLAN的用户需要进行隔离,划分VLAN太浪费资源,就可以采用此功能。只需将端口加入到同一隔离组中,就可以实现互相隔离。
隔离模式分为两种:
二层隔离三层互通
可以隔离同一VLAN不同接口的广播报文,但用户还可以进行三层通信
二层三层都隔离
同一VLAN不同接口下的用户彻底不能通信。
为了阻止非法用户通过本接口和交换机通信,增强设备的安全性,端口安全可以将接口学到的动态MAC地址转换为安全MAC地址。
安全地址可分为三种:
安全动态MAC
使能端口安全未使能Sticky MAC时转换到的MAC地址,特点是
设备重启后表项会丢失
缺省情况下不会老化,除非配置老化时间,老化时间分为两种:
绝对老化时间
以时间为准,如果设置为5分钟,每隔一分钟算一次存在时间,大于5分钟老化
相对老化时间
以流量为准,如果设置为5分钟,每隔一分钟查一次是否有该MAC流量,如果没有则5分钟后老化
安全静态MAC
使能端口安全时候手工配置的静态MAC地址,不会被老化,手动保存后不会丢失
Sticky MAC
使能端口安全并使能Sticky MAC功能后转换到的MAC地址,不会被老化,手动保存配置后重启设备不会丢失。
| 动作 | 说明 |
|---|---|
| restrict | 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 |
| protect | 只丢弃源MAC地址不存在的报文,不上报告警。 |
| shutdown | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。 |
标签:限制 重启 设备 val 通过 Mux-vlan png 不同 静态
原文地址:https://www.cnblogs.com/tmjblog/p/12643875.html
