7.2. Настройка безопасности VLAN

Назначение

Функция безопасности VLAN используется для ограничения количества MAC-адресов, в определенной VLAN. MAC-адреса могут быть добавлены вручную или получены автоматически. После того, как будет достигнут предел количества MAC-адресов в VLAN, при поступлении во VLAN пакетов с неизвестным MAC-адресом источника, будет выполняться настроенное действие.

Описание

Поддерживаются два типа MAC-адресов:

  • Cтатические MAC-адреса - настраиваются вручную.

  • Динамические MAC-адреса - настраиваются автоматически.

Можно настроить действие, выполняемое при поступлении во VLAN пакетов с неизвестными MAC-адресами после превышения максимального количества MAC-адресов. Для этого используйте команду vlan X mac-limit action.

Поддерживаются три типа действий:

  • “Discard” - пакет с неизвестным MAC-адресом источника будет отброшен, MAC-адрес источника не будет изучен.

  • “Warn” - пакет с неизвестным MAC-адресом источника будет отброшен, MAC-адрес источника не будет изучен, в системный журнал будет выведено предупреждение.

  • “Forward” - пакеты из VLAN будут пересылаться без изучения MAC-адресов и без вывода предупреждений.

Функция изучения MAC-адресов может быть включена или отключена для каждой виртуальной локальной сети.

Настройка

Настройка лимита MAC-адресов

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Настройка VLAN

Вход в режим настройки VLAN, создание VLAN, установка максимального количества MAC-адресов и действия при превышении:

Switch# configure terminal
Switch(config)# vlan database
Switch(config)# vlan 2
Switch(config-vlan)# vlan 2 mac-limit maximum 100 
Switch(config-vlan)# vlan 2 mac-limit action discard 
Switch(config-vlan)# exit

Шаг 3: Выход из режима “Global config”

Switch(config)# end

Шаг 4: Проверка

Switch# show vlan-security 
 Vlan  learning-en  max-mac-count  cur-mac-count  action
 -------------------------------------------------------
 2     Enable       100            0              Discard

Настройка изучения MAC-адресов

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Настройка VLAN

Вход в режим настройки VLAN, создание VLAN, установка состояния изучения MAC-адресов:

Switch(config)# vlan database
Switch(config)# vlan 2
Switch(config-vlan)# vlan 2 mac learning disable 
Switch(config-vlan)# exit

Шаг 3: Выход из режима “Global config”

Switch(config)# end

Шаг 4: Проверка

Switch# show vlan-security 
 Vlan  learning-en  max-mac-count  cur-mac-count  action
 -------------------------------------------------------
 2     Disable      100            0              Discard