网络架构搭建中的 QinQ 与端口安全策略
目录
QinQ
端口安全
- 公司分布之间合理规划VLAN ID
- 公司连接ISP的接口配置为Trunk
- 运行商连接公司的接口配置为QinQ接口 ,划分vlan
- interface GigabitEthernet0/0/2
- port link-type dot1g-tunnel
- default vlan 2
- 运营商内部允许外层vlan tag通过。
QinQ
- 基本QinQ:.基于接口进行实现,无论从接口收到任何报文,都会打上接口的缺省vlan tag
- 收到带有tag的报文,打上缺省vlan tag 变为双层tag。
- 收到不带有tag的报文,打上缺省vlan tag 只有一层tag
- 特征:可以接受的数据帧中,不同的内层tag值,来打上不同的外层tag:
- 配置思路:
- 公司分布之间合理规划VLAN ID
- 公司连接ISP的接口配置为Trunk
- 运行商连接公司的接口配置为QinQ接口,划分vlan。
- 运营商内部允许外层vlan tag通过。
- 配置命令:
- interface GigabitEthernet0/0/2
- port link-type dot1g-tunnel
- port default vlan 2
- 灵活QinQ: 是基于接口和收到报文的vlan tag相结合的方式进行实现。灵活qinq也叫作 QinQ stacking 或者vlan stacking
- 特征:可以接受的数据帧中,不同的内层tag值,来打上不同的外层tag。
- 配置思路:
- 公司分布之间合理规划VLAN ID
- 公司连接ISP的接口配置为Trunk
- 运行商连接公司的接口配置为hybrid接口,配置untag策略。
- 运营商内部允许外层vlan tag通过。
- 配置命令:
- interface GigabitEthernet0/0/2
- qinq vlan-translation enable
- port vlan-stacking vlan 10 stack-vlan 2
- port vlan-stacking vlan 20 stack-vlan 4
- 默认外层vlan tag的802.1P值继承内层vlan tag的802.1P值。
端口安全
- [Huawei-GigabitEthernet0/0/1]port-security enable 开启端口安全功能
- [Huawei-GigabitEthernet0/0/1]port-security aging-time 1 type ?
- absolute Absolute time(默认)
- inactivity Inactivity time
- [Huawei-GigabitEthernet0/0/1]port-security mac-address sticky
- [Huawei-GigabitEthernet0/0/1]port-security max-mac-num默认一个
- [Huawei-GigabitEthernet0/0/1]port-security protect-action ?
- protect Discard packets(丢弃)
- restrict Discard packets and warning(默认,丢弃并且告警)
- shutdown shutdown(将接口置位error-down 并且告警)
- [Huawei-GigabitEthernete/8/1]port-security mac-address命令用来配置静态安全MAC地址。
- [Huawei]error-down auto-recovery cause port-security interval 60 //单位是秒,思科为分钟