文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

掌握端口隔离技术,让网络更安全

2024-11-30 08:19

关注

本系列通过介绍常见的以太网交换安全技术,包括端口隔离、端口安全、MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常见技术,以提高对以太网交换安全的理解和认识。

端口隔离技术背景

如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?

端口隔离技术概述

采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离技术原理

(1) 双向隔离

同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。

(2) 单向隔离

为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。缺省情况下,未配置端口单向隔离。

(3) L2(二层隔离三层互通)

隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。

(4) ALL(二层三层都隔离)

同一VLAN的不同端口下用户二三层彻底隔离无法通信。

采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。

端口隔离配置命令

(1) 使能端口隔离功能

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

缺省情况下,未使能端口隔离功能。如果不指定group-id参数时,默认加入的端口隔离组为1。

(2) (可选)配置端口隔离模式

Huawei] port-isolate mode { l2 | all }

缺省情况下,端口隔离模式为L2。

(3) 配置端口单向隔离

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离。

端口隔离配置举例

如图所示:PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。

Switch配置如下:

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2

端口隔离配置验证

(1) 通过display port-isolate group group-number查看端口隔离组中的端口

[SW]display port-isolate group 2
  The ports in isolate group 2:
GigabitEthernet0/0/1     GigabitEthernet0/0/2

(2) 验证同一端口隔离组下主机网络不能互通。

来源:攻城狮成长日记内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯