如何配置埠隔離
1. 設置cisco交換機埠隔離的教程
設置cisco交換機埠隔離的教程
現在網路安全要求也越來越多樣化了,一個區域網有時候也希望用戶不能互相訪問(如小區用戶),只能和網關進進行通訊。H3C交換機可以用埠隔離來實現,下面給大家介紹一下在cisco的交換機上面如何來實現這樣的.(埠隔離)需求。
在cisco 低端交換機中的實現方法:
1.通過埠保護(Switchitchport protected)來實現的。
2.通過PVLAN(private vlan 私有vlan)來實現.
主要操作如下:
相對來說cisco 3550或者2950交換機配置相對簡單,進入網路介面配置模式:
Switch(config)#int range f0/1 - 24 #同含銷時操作f0/1到f0/24口可根據自己的需求來選擇埠
Switch(config-if-range)#Switchitchport protected #開啟埠保護
ok...到此為止,在交換機的每個介面啟用埠保護,目的達到.
由於4500系列交換機不支持埠保護,可以通過PVLAN方式實現。
主要操作如下:
交換機首先得設置成transparents模式,才能完成pvlan的設置。
首先建立second Vlan 2個
Switch(config)#vlan 101
Switch(config-vlan)#private-vlan community
###建立vlan101 並指定此vlan為公共vlan
Switch(config)vlan 102
Switch(config-vlan)private-vlan isolated
###建立vlan102 並指定此vlan為隔離vlan
Switch(config)vlan 200
Switch(config-vlan)private-vlan primary
Switch(config-vlan)private-vlan association 101
Switch(config-vlan)private-vlan association add 102
###建立vlan200 並指定此vlan為主vlan,同時制定vlan101以及102為vlan200的second vlan
Switch(config)#int vlan 200
Switch(config-if)#private-vlan mapping 101,102
###進入vlan200 配置ip地址後,使second vlan101與102之間路由,使其可以通信
Switch(config)#int f3/1
Switch(config-if)#Switchitchport private-vlan host-association 200 102
Switch(config-if)#Switchitchport private-vlan mapping 200 102
Switch(config-if)#Switchitchport mode private-vlan host
###進入介面模式,配置介面為PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔離vlan
至此,配置結束,經過實驗檢測,各個端裂歷口之間不能通信,但談源游都可以與自己的網關通信。
注:如果有多個vlan要進行PVLAN配置,second vlan必須要相應的增加,一個vlan只能在private vlan下作為 second vlan。
2. 兩台華為交換機之間怎麼做埠隔離,實現他們之間的任何埠都不能通訊
埠隔離可以實現在同一台交換機上對埠進行邏輯隔離,可以在同一個vlan內實現隔離。埠隔離分為L2層隔離和L3層隔離,其中在L2層的埠隔離中還可以有埠單向隔離技術用於某些特殊場景。
將pc1與pc2的埠加入同一個隔離組就實現了埠的隔離,默認是L2層隔離(無網關SVI介面),L3層隔離需要修改埠隔離模式,在全局侍舉模式使用命令:
[Huawei]port-isolate mode ?
all All
l2 L2 only
上面命令修改埠隔離模式,L2或者all(L2+L3全部隔離)
如果只需要實現L2層隔離,配置如下:
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
#
在SVI介面下必須使用三層隔離才能將埠隔離開,就需要使用[Huawei]port-isolate mode all 來修改埠隔離模式為L2+L3層。
(2)如何配置埠隔離擴展閱讀
埠隔離的方法和應用場景:
配置介面單向隔離:接入同一個設備不同介面的多台主機,若某台主機存在安全隱患,往其他主機發送大量的廣播報文,可以通過配置介面間的單向隔離來實現其他主機對該主機報文的隔離。
同一埠隔離組的介面之間互相隔離,不同埠隔離組的介面之間不隔離。為了實現不同埠隔舉歲離組的介面之間的隔離,可以通過配置介面之間的單向隔離來實現。
配置埠隔離組:
為正談睜了實現介面之間的二層隔離,可以將不同的介面加入不同的VLAN,但這樣會浪費有限的VLAN資源。採用埠隔離特性,可以實現同一VLAN內介面之間的隔離。
用戶只需要將介面加入到隔離組中,就可以實現隔離組內介面之間二層數據的隔離。埠隔離功能為用戶提供了更安全、更靈活的組網方案。
3. 怎麼用交換機埠隔離拒絕病毒入侵
網路上的未知軟體和未知網頁很多都是帶病毒的,那麼你知道怎麼用交換機埠隔離拒絕病毒入侵嗎?下面是我整理的一些關於怎麼用交換機埠隔離拒絕病毒入侵的相關資料,供你參考。
用交換機埠隔離拒絕病毒入侵的案例如下:
例如單位區域網採用MyPower S3026G型號的普通樓層交換機,將位於大樓一、二、三層中的所有計算機全部連接起來,這些樓層交換機全部連接到單位的核心交換機中,核心交換機又通過天融信硬體防火牆與Internet網路進行了連接。由於單位交換機都支持即插即用功能,網路管理員對它們沒有進行任何配置,就直接連接到區域網網路中; 在這種連接狀態下,區域網中所有樓層的計算機相互之間都能訪問,這樣一來單位同事們經常利用區域網網路進行共享交流。
剛開始的時候,區域網運行一直很穩定;最近不知道由於什麼緣故,單位所有計算機都不能通過區域網進行共享訪問Internet網路了,不過相互之間它們卻能夠正常訪問。
分析解決
對於這種故障現象,筆者想當然地認為問題肯定出在硬體防火牆或核心交換機上,而與普通計算機的上網設置以及網路線纜連通性沒有任何關系;不過,當筆者斷開所有樓層交換機以及單位的伺服器或重要工作站,僅讓一弊段台工作狀態正常的 筆記本 電腦與核心交換機保持連接時,該筆記本電腦卻能夠正常訪問 Internet網路,顯然核心交換機與硬體防火牆的工作狀態也是正常的。那問題究竟出現在什麼地方呢?
考慮到區域網中的所有計算機都 不能上網 ,筆者估計可能出現了網路環路,或者存在類似ARP這樣的網路病毒,只有這些因素才能造成整個區域網大面積不能正常上網。由於網路環路故障排查起來相對復雜一些,筆者打算先從網路病毒因素開始查起;想到做到,筆者立即與其他幾個單位員工分頭行動,使用最新版本的殺毒軟體依次對每一台普通工作站進行病毒查殺操作;經過一番持久戰,潛藏在區域網中的許多病毒的確被我們消滅干凈了。原本以為解決了網路病毒,區域網不能上網的故障現象也應該自動消除了,可是重新將所有計算機接入到單位區域網中後,發現上述故障現象依然存在,難道這樣的故障現象旦晌真的與網路病毒沒有任何關系?
之後,筆者打算檢查區域網中是否存在網路環路現象。經過仔細分析,筆者認為要是某個交換埠下面的子網路存在網路環路現象時,那麼對應交換埠的輸入、輸出流量都應該很大才對;基於這樣的認識,筆者立即進入單位區域網的核心交換機後台管理系統,利用該系統自帶的診斷功能,對每一個交換埠進行了掃描檢查,從反饋回來的結果中筆者發現每一個交換埠的輸入、輸出流量正常,這說明網路環路現象也不存在。
在萬般無奈之下,筆者任意找了一台故障計算機,利用系統自帶的ping、tracert等命令,對區域網網關地址進行了跟蹤測試,結果發現系統竟然會去尋找一個並不存在的網關地址,顯然計算機系統中存在網路病毒,那麼為什麼殺毒軟體沒有將這些病毒掃描出來呢?經過上網搜索,筆者得知網路存在一種特殊的網路病毒,它們專門修改區域網的網關地址,造成計算機無法上網,並且這種網路病毒可以躲避殺毒軟體的“圍剿”,這也是我們使用殺毒軟體沒有找到該網路病毒的原因。後來,筆者按照網上提供的方案將該網路病毒清除後,故障計算機果然能夠正常上網了;按照相同的處理 方法 ,其他計算機無法上網故障一一被解決了。
深入應對
雖然上述故障已經被解決了,但是該區域網無法阻止網路病毒大面積傳播的事實,警醒了筆者和同事;為了提升網路運行安全性,確保網路運行穩定性,筆者決定對單位區域網組網方式進行適當調整,以便讓每個樓層的交換埠相互隔離,從而拒絕網路病毒在區域網中的快速傳播。
由於MyPower S3026G型號的交換機共包含26個交換埠,筆者打算使用每個樓層交換機的25、26兩個埠,級聯到單位區域網的核心交換機上,其他的交換埠全部設置為隔離埠,單位中的所有普通計算機全部連接到隔離埠上,那樣一來區域網中的所有普通計算機之間就只能通過核心交換機訪問Internet網路,它們相模卜鋒互之間就不能進行訪問了,這樣可以保證網路病毒無法大面積傳播了。考慮到單位區域網中還有一些伺服器和重要工作站,為了讓普通用戶能訪問到它們,筆者決定將核心交換機的1、2、3、4、5、6埠設置為共享埠,這些埠連接單位伺服器或重要工作站,25、26兩個埠作為上行連接埠,用於連接區域網中的硬體防火牆,其他交換埠設置為隔離埠,全部用來連接
普通的樓層交換機或者普通計算機。
基於這樣的思路,筆者使用百兆雙絞線將位於大樓一、二、三層中的樓層交換機上行埠,全部連接到核心交換機的7-24埠上,將核心交換機的上行埠連接到天融信硬體防火牆的介面上,將單位中的重要工作站和各種伺服器連接到核心交換機的1、2、3、4、5、6埠上,以便讓所有普通的計算機都能共享訪問到,所有計算機都位於同一個網段之中。
在完成上面的物理連接之後,筆者使用MyPower S3026G交換機自帶的控制線纜連接到核心交換機後台管理系統,同時進入該系統的全局配置狀態,在該狀態下執行字元串命令“isolate-port allowed ethernet 0/0/1-6;25;26”,將核心交換機的1、2、3、4、5、6埠設置為共享埠,將25、26兩個埠作為上行連接埠;接著切換進入指定網段,例如假設執行“vlan 10”字元串命令,將交換機切換到vlan 10網段配置狀態,再執行字元串命令“switchport interface ethernet 0/0/1-26”,將核心交換機的其他交換埠配置成隔離埠,之後依次執行“exit”、“write”命令,完成上述配置的保存操作,最後使用 “reload”命令完成上述配置的重新載入工作,那樣一來核心交換機的各項配置就能正式生效了。
按照同樣的操作方法,在普通樓層交換機的全局配置狀態下,執行“isolate-port allowed ethernet 0/0/25;26”字元串命令,將樓層交換機的25、26兩個埠設置為上行埠,執行“switchport interface ethernet 0/0/1-26”字元串命令,將其他埠全部設置為隔離埠,最後再載入、保存好上述交換配置。
經過上述重新連接以及交換配置操作後,區域網中的所有普通用戶只能通過區域網訪問Interent網路,同時也能夠訪問區域網中的伺服器或重要工作站,但是不能訪問其他普通計算機,而區域網中的伺服器或重要工作站卻能夠訪問所有普通計算機,如此一來日後普通計算機中即便存在網路病毒,也不會通過網路發生大面積的病毒傳播,那麼區域網網路的運行安全性就能得到保證了,同時網路訪問更加暢通了。
4. 華為交換機埠怎麼隔離
埠隔離實際配置情況:
1、 通過PC端XP/win7的超級終端連接交換機的console口,連伏搏磨接成功後進行配置,具體圖 文步驟見獨立文檔。 (注意:交換機自帶的配置線為串口-RJ45線,筆銀世記本若無串口需要通過usb轉串口線連接,連接前注意安裝驅動)
2、 配置埠隔離:
1) 進入系統視圖:<Huawei>system-view
2) 進入介面視圖:[Huawei] interface GigabitEthernet 0/0/1
3) 將該埠配置為隔離埠: [Huawei -GigabitEthernet0/0/1] port-isolate enable
4) 退出: [Huawei -GigabitEthernet0/0/1]quit
5) 將其他目標埠配置為隔離埠,如GigabitEthernet0/0/2、GigabitEthernet0/0/3等, 配置命令完全一樣
6) 配置完成後可對相應隔離埠進行ping測試,可以發現隔離埠之間數據傳輸已經 相互隔離
3、注意點:
1)實際上還有個埠隔離組的概念,每個隔離組相互獨立,只有同一個隔離組的埠之間才有「隔離」的效果,不同隔離組之間的埠即使開啟了埠隔離也能進行數據互通,但事實上,默認配缺斗置下,所有埠都在同一個埠隔離組「1」,所以若無需增加隔離組直接配置即可。
2)關閉埠隔離:undo port-isolate enable(進入相應介面視圖)
5. 埠隔離的配置方法
埠隔離技術在H3C交換機上的實現
system-view
進入系統視圖
interface
interface-type
interface-number
進入乙太網埠視圖
port
isolate
將乙太網埠加入到隔離組中
埠隔離技術在H3C交換機上實現很強,使用也方便,上述的三條命令就可以實現相應埠之間隔離。
埠隔離技術在D-LINK交換機上的實現
config
traffic_segmentation
[<portlist>]
forward_list
[null
|<portlist>]
其中<portlist>表示指定哪個埠作為隔離埠,參數null表示沒有上連埠,參數<portlist>表示上連埠。
埠隔離技術在港灣交換機上的實現
config
vcn
up
<portlist>
[notagout|tagout]
baseVID
<1-4069>
其中<portlist>表示指定哪個埠作為上行通信埠,可以指定一個或兩個上行埠;參數notagout
表示上連埠以untag方式屬於vcn所創建的所有vlan,參數tagout表示上連埠以tag方式屬於baseVID後面所跟的vlanID。
埠隔離技術在CISCO交換機上的實現
config
terminal
進入系統視圖
interface
interface-type
interface-number
進入乙太網埠視圖
switchport
protected
將乙太網埠加入到隔離組中
CISCO的埠隔離技術實際是埠保護,起了switchport
protected的埠將不會受單播、廣播和組播的影響。
6. 華為交換機場景乙太網介面操作整理 (上)第十一天
1、配置埠組
(1)配置臨時埠組
配置介面GE1/0/1至GE1/0/10加入到臨時埠組(使用port-group group-member命令)。
腳本:
system-view
port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/10
配置介面GE1/0/11至GE1/0/20加入到臨時埠組(使用interface range命令,此命令僅V2R3C00及後續版本支持)。
腳本:
system-view
interface range gigabitethernet 1/0/11 to gigabitethernet 1/0/20
(2)配置永久埠組
配置介面GE1/0/1至GE1/0/10加入到臨時埠組portgroup1(使用port-group命令)。
腳本:
system-view
port-group portgroup1
group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/10
2、配置埠隔姿數離
(1)配置埠隔離組
配置介面GE1/0/1和GE1/0/2的埠隔離功能,實現兩個介面之間的二層數據隔離,三層數據互通。
腳本:
system-view
port-isolate mode 12
interface gigabitethernet 1/0/1
port-isolate enable group 1
quit
interface gigabitethernet 1/0/2
port-isolate enable group 1
quit
配置介面GE1/0/5至GE1/0/10的埠隔離功能,實現多個介面之間的二三層數據均隔離。
腳本:
system-view
port-isolate mode all
port-group portgroup1
group-member gigabitethernet 1/0/5 to gigabitethernet 1/0/10
port-isolate enable group 2
(2)配置單向隔離。
配置介面GE1/0/5與GE1/0/6、GE1/0/7、GE1/0/8的單向隔離功能,實現GE1/0/5介面發送的二層數據報文無法到達介面GE1/0/6、GE1/0/7、GE1/0/8。
腳本:
system-view
port-isolate mode 12
interface gigabitethernet 1/0/5
am isolate gigabitethernet 1/0/6 to 1/0/8
3、配置Combo介面工作模式
配置介面GE1/0/10工作模式為電口模式。
腳本:
system-view
interface gigabitethernet 1/0/10
combo-port copper
說明:指定Combo介面工作模式為auto,即自動選擇模式時,系統將檢測Combo光口是否有光模塊插入,並根據如下情況進行模式選擇:
(1)Combo電口沒有連接網線,當Combo光口插上光模塊時,則跡鉛首Combo介面選擇光口模式。
(2)Combo電口已經連接網線,且Combo介面處於Up狀態,此時即使Combo光口插上光模塊,Combo介面仍選擇為電口模式。但是設備重啟後,Combo介面工作模式將變為光口模式。
(3)Combo電口已經連接網線,且Combo介面處於Down狀態,此時Combo光口插上光模塊時,Combo介面將選擇光口模式。
綜上所激察述,Combo介面工作模式為自動選擇模式時,只要Combo光口已插上光模塊,則設備重啟後,Combo介面都將選擇光口模式。
(4)強制指定Combo介面的工作模式時,需要根據本端與對端設備連接的介面類型進行配置。如果本端Combo電口與對端電口相連,則需要強制指定Combo介面的工作模式為copper;如果本端Combo光口與對端光口相連,則需要強制指定Combo介面的工作模式為fiber。