如何配置端口隔离
1. 设置cisco交换机端口隔离的教程
设置cisco交换机端口隔离的教程
现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的.(端口隔离)需求。
在cisco 低端交换机中的实现方法:
1.通过端口保护(Switchitchport protected)来实现的。
2.通过PVLAN(private vlan 私有vlan)来实现.
主要操作如下:
相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式:
Switch(config)#int range f0/1 - 24 #同含销时操作f0/1到f0/24口可根据自己的需求来选择端口
Switch(config-if-range)#Switchitchport protected #开启端口保护
ok...到此为止,在交换机的每个接口启用端口保护,目的达到.
由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。
主要操作如下:
交换机首先得设置成transparents模式,才能完成pvlan的设置。
首先建立second Vlan 2个
Switch(config)#vlan 101
Switch(config-vlan)#private-vlan community
###建立vlan101 并指定此vlan为公共vlan
Switch(config)vlan 102
Switch(config-vlan)private-vlan isolated
###建立vlan102 并指定此vlan为隔离vlan
Switch(config)vlan 200
Switch(config-vlan)private-vlan primary
Switch(config-vlan)private-vlan association 101
Switch(config-vlan)private-vlan association add 102
###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan
Switch(config)#int vlan 200
Switch(config-if)#private-vlan mapping 101,102
###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信
Switch(config)#int f3/1
Switch(config-if)#Switchitchport private-vlan host-association 200 102
Switch(config-if)#Switchitchport private-vlan mapping 200 102
Switch(config-if)#Switchitchport mode private-vlan host
###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan
至此,配置结束,经过实验检测,各个端裂历口之间不能通信,但谈源游都可以与自己的网关通信。
注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为 second vlan。
2. 两台华为交换机之间怎么做端口隔离,实现他们之间的任何端口都不能通讯
端口隔离可以实现在同一台交换机上对端口进行逻辑隔离,可以在同一个vlan内实现隔离。端口隔离分为L2层隔离和L3层隔离,其中在L2层的端口隔离中还可以有端口单向隔离技术用于某些特殊场景。
将pc1与pc2的端口加入同一个隔离组就实现了端口的隔离,默认是L2层隔离(无网关SVI接口),L3层隔离需要修改端口隔离模式,在全局侍举模式使用命令:
[Huawei]port-isolate mode ?
all All
l2 L2 only
上面命令修改端口隔离模式,L2或者all(L2+L3全部隔离)
如果只需要实现L2层隔离,配置如下:
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
#
在SVI接口下必须使用三层隔离才能将端口隔离开,就需要使用[Huawei]port-isolate mode all 来修改端口隔离模式为L2+L3层。
(2)如何配置端口隔离扩展阅读
端口隔离的方法和应用场景:
配置接口单向隔离:接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,往其他主机发送大量的广播报文,可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔举岁离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
配置端口隔离组:
为正谈睁了实现接口之间的二层隔离,可以将不同的接口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内接口之间的隔离。
用户只需要将接口加入到隔离组中,就可以实现隔离组内接口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
3. 怎么用交换机端口隔离拒绝病毒入侵
网络上的未知软件和未知网页很多都是带病毒的,那么你知道怎么用交换机端口隔离拒绝病毒入侵吗?下面是我整理的一些关于怎么用交换机端口隔离拒绝病毒入侵的相关资料,供你参考。
用交换机端口隔离拒绝病毒入侵的案例如下:
例如单位局域网采用MyPower S3026G型号的普通楼层交换机,将位于大楼一、二、三层中的所有计算机全部连接起来,这些楼层交换机全部连接到单位的核心交换机中,核心交换机又通过天融信硬件防火墙与Internet网络进行了连接。由于单位交换机都支持即插即用功能,网络管理员对它们没有进行任何配置,就直接连接到局域网网络中; 在这种连接状态下,局域网中所有楼层的计算机相互之间都能访问,这样一来单位同事们经常利用局域网网络进行共享交流。
刚开始的时候,局域网运行一直很稳定;最近不知道由于什么缘故,单位所有计算机都不能通过局域网进行共享访问Internet网络了,不过相互之间它们却能够正常访问。
分析解决
对于这种故障现象,笔者想当然地认为问题肯定出在硬件防火墙或核心交换机上,而与普通计算机的上网设置以及网络线缆连通性没有任何关系;不过,当笔者断开所有楼层交换机以及单位的服务器或重要工作站,仅让一弊段台工作状态正常的 笔记本 电脑与核心交换机保持连接时,该笔记本电脑却能够正常访问 Internet网络,显然核心交换机与硬件防火墙的工作状态也是正常的。那问题究竟出现在什么地方呢?
考虑到局域网中的所有计算机都 不能上网 ,笔者估计可能出现了网络环路,或者存在类似ARP这样的网络病毒,只有这些因素才能造成整个局域网大面积不能正常上网。由于网络环路故障排查起来相对复杂一些,笔者打算先从网络病毒因素开始查起;想到做到,笔者立即与其他几个单位员工分头行动,使用最新版本的杀毒软件依次对每一台普通工作站进行病毒查杀操作;经过一番持久战,潜藏在局域网中的许多病毒的确被我们消灭干净了。原本以为解决了网络病毒,局域网不能上网的故障现象也应该自动消除了,可是重新将所有计算机接入到单位局域网中后,发现上述故障现象依然存在,难道这样的故障现象旦晌真的与网络病毒没有任何关系?
之后,笔者打算检查局域网中是否存在网络环路现象。经过仔细分析,笔者认为要是某个交换端口下面的子网络存在网络环路现象时,那么对应交换端口的输入、输出流量都应该很大才对;基于这样的认识,笔者立即进入单位局域网的核心交换机后台管理系统,利用该系统自带的诊断功能,对每一个交换端口进行了扫描检查,从反馈回来的结果中笔者发现每一个交换端口的输入、输出流量正常,这说明网络环路现象也不存在。
在万般无奈之下,笔者任意找了一台故障计算机,利用系统自带的ping、tracert等命令,对局域网网关地址进行了跟踪测试,结果发现系统竟然会去寻找一个并不存在的网关地址,显然计算机系统中存在网络病毒,那么为什么杀毒软件没有将这些病毒扫描出来呢?经过上网搜索,笔者得知网络存在一种特殊的网络病毒,它们专门修改局域网的网关地址,造成计算机无法上网,并且这种网络病毒可以躲避杀毒软件的“围剿”,这也是我们使用杀毒软件没有找到该网络病毒的原因。后来,笔者按照网上提供的方案将该网络病毒清除后,故障计算机果然能够正常上网了;按照相同的处理 方法 ,其他计算机无法上网故障一一被解决了。
深入应对
虽然上述故障已经被解决了,但是该局域网无法阻止网络病毒大面积传播的事实,警醒了笔者和同事;为了提升网络运行安全性,确保网络运行稳定性,笔者决定对单位局域网组网方式进行适当调整,以便让每个楼层的交换端口相互隔离,从而拒绝网络病毒在局域网中的快速传播。
由于MyPower S3026G型号的交换机共包含26个交换端口,笔者打算使用每个楼层交换机的25、26两个端口,级联到单位局域网的核心交换机上,其他的交换端口全部设置为隔离端口,单位中的所有普通计算机全部连接到隔离端口上,那样一来局域网中的所有普通计算机之间就只能通过核心交换机访问Internet网络,它们相模卜锋互之间就不能进行访问了,这样可以保证网络病毒无法大面积传播了。考虑到单位局域网中还有一些服务器和重要工作站,为了让普通用户能访问到它们,笔者决定将核心交换机的1、2、3、4、5、6端口设置为共享端口,这些端口连接单位服务器或重要工作站,25、26两个端口作为上行连接端口,用于连接局域网中的硬件防火墙,其他交换端口设置为隔离端口,全部用来连接
普通的楼层交换机或者普通计算机。
基于这样的思路,笔者使用百兆双绞线将位于大楼一、二、三层中的楼层交换机上行端口,全部连接到核心交换机的7-24端口上,将核心交换机的上行端口连接到天融信硬件防火墙的接口上,将单位中的重要工作站和各种服务器连接到核心交换机的1、2、3、4、5、6端口上,以便让所有普通的计算机都能共享访问到,所有计算机都位于同一个网段之中。
在完成上面的物理连接之后,笔者使用MyPower S3026G交换机自带的控制线缆连接到核心交换机后台管理系统,同时进入该系统的全局配置状态,在该状态下执行字符串命令“isolate-port allowed ethernet 0/0/1-6;25;26”,将核心交换机的1、2、3、4、5、6端口设置为共享端口,将25、26两个端口作为上行连接端口;接着切换进入指定网段,例如假设执行“vlan 10”字符串命令,将交换机切换到vlan 10网段配置状态,再执行字符串命令“switchport interface ethernet 0/0/1-26”,将核心交换机的其他交换端口配置成隔离端口,之后依次执行“exit”、“write”命令,完成上述配置的保存操作,最后使用 “reload”命令完成上述配置的重新加载工作,那样一来核心交换机的各项配置就能正式生效了。
按照同样的操作方法,在普通楼层交换机的全局配置状态下,执行“isolate-port allowed ethernet 0/0/25;26”字符串命令,将楼层交换机的25、26两个端口设置为上行端口,执行“switchport interface ethernet 0/0/1-26”字符串命令,将其他端口全部设置为隔离端口,最后再加载、保存好上述交换配置。
经过上述重新连接以及交换配置操作后,局域网中的所有普通用户只能通过局域网访问Interent网络,同时也能够访问局域网中的服务器或重要工作站,但是不能访问其他普通计算机,而局域网中的服务器或重要工作站却能够访问所有普通计算机,如此一来日后普通计算机中即便存在网络病毒,也不会通过网络发生大面积的病毒传播,那么局域网网络的运行安全性就能得到保证了,同时网络访问更加畅通了。
4. 华为交换机端口怎么隔离
端口隔离实际配置情况:
1、 通过PC端XP/win7的超级终端连接交换机的console口,连伏搏磨接成功后进行配置,具体图 文步骤见独立文档。 (注意:交换机自带的配置线为串口-RJ45线,笔银世记本若无串口需要通过usb转串口线连接,连接前注意安装驱动)
2、 配置端口隔离:
1) 进入系统视图:<Huawei>system-view
2) 进入接口视图:[Huawei] interface GigabitEthernet 0/0/1
3) 将该端口配置为隔离端口: [Huawei -GigabitEthernet0/0/1] port-isolate enable
4) 退出: [Huawei -GigabitEthernet0/0/1]quit
5) 将其他目标端口配置为隔离端口,如GigabitEthernet0/0/2、GigabitEthernet0/0/3等, 配置命令完全一样
6) 配置完成后可对相应隔离端口进行ping测试,可以发现隔离端口之间数据传输已经 相互隔离
3、注意点:
1)实际上还有个端口隔离组的概念,每个隔离组相互独立,只有同一个隔离组的端口之间才有“隔离”的效果,不同隔离组之间的端口即使开启了端口隔离也能进行数据互通,但事实上,默认配缺斗置下,所有端口都在同一个端口隔离组“1”,所以若无需增加隔离组直接配置即可。
2)关闭端口隔离:undo port-isolate enable(进入相应接口视图)
5. 端口隔离的配置方法
端口隔离技术在H3C交换机上的实现
system-view
进入系统视图
interface
interface-type
interface-number
进入以太网端口视图
port
isolate
将以太网端口加入到隔离组中
端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。
端口隔离技术在D-LINK交换机上的实现
config
traffic_segmentation
[<portlist>]
forward_list
[null
|<portlist>]
其中<portlist>表示指定哪个端口作为隔离端口,参数null表示没有上连端口,参数<portlist>表示上连端口。
端口隔离技术在港湾交换机上的实现
config
vcn
up
<portlist>
[notagout|tagout]
baseVID
<1-4069>
其中<portlist>表示指定哪个端口作为上行通信端口,可以指定一个或两个上行端口;参数notagout
表示上连端口以untag方式属于vcn所创建的所有vlan,参数tagout表示上连端口以tag方式属于baseVID后面所跟的vlanID。
端口隔离技术在CISCO交换机上的实现
config
terminal
进入系统视图
interface
interface-type
interface-number
进入以太网端口视图
switchport
protected
将以太网端口加入到隔离组中
CISCO的端口隔离技术实际是端口保护,起了switchport
protected的端口将不会受单播、广播和组播的影响。
6. 华为交换机场景以太网接口操作整理 (上)第十一天
1、配置端口组
(1)配置临时端口组
配置接口GE1/0/1至GE1/0/10加入到临时端口组(使用port-group group-member命令)。
脚本:
system-view
port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/10
配置接口GE1/0/11至GE1/0/20加入到临时端口组(使用interface range命令,此命令仅V2R3C00及后续版本支持)。
脚本:
system-view
interface range gigabitethernet 1/0/11 to gigabitethernet 1/0/20
(2)配置永久端口组
配置接口GE1/0/1至GE1/0/10加入到临时端口组portgroup1(使用port-group命令)。
脚本:
system-view
port-group portgroup1
group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/10
2、配置端口隔姿数离
(1)配置端口隔离组
配置接口GE1/0/1和GE1/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。
脚本:
system-view
port-isolate mode 12
interface gigabitethernet 1/0/1
port-isolate enable group 1
quit
interface gigabitethernet 1/0/2
port-isolate enable group 1
quit
配置接口GE1/0/5至GE1/0/10的端口隔离功能,实现多个接口之间的二三层数据均隔离。
脚本:
system-view
port-isolate mode all
port-group portgroup1
group-member gigabitethernet 1/0/5 to gigabitethernet 1/0/10
port-isolate enable group 2
(2)配置单向隔离。
配置接口GE1/0/5与GE1/0/6、GE1/0/7、GE1/0/8的单向隔离功能,实现GE1/0/5接口发送的二层数据报文无法到达接口GE1/0/6、GE1/0/7、GE1/0/8。
脚本:
system-view
port-isolate mode 12
interface gigabitethernet 1/0/5
am isolate gigabitethernet 1/0/6 to 1/0/8
3、配置Combo接口工作模式
配置接口GE1/0/10工作模式为电口模式。
脚本:
system-view
interface gigabitethernet 1/0/10
combo-port copper
说明:指定Combo接口工作模式为auto,即自动选择模式时,系统将检测Combo光口是否有光模块插入,并根据如下情况进行模式选择:
(1)Combo电口没有连接网线,当Combo光口插上光模块时,则迹铅首Combo接口选择光口模式。
(2)Combo电口已经连接网线,且Combo接口处于Up状态,此时即使Combo光口插上光模块,Combo接口仍选择为电口模式。但是设备重启后,Combo接口工作模式将变为光口模式。
(3)Combo电口已经连接网线,且Combo接口处于Down状态,此时Combo光口插上光模块时,Combo接口将选择光口模式。
综上所激察述,Combo接口工作模式为自动选择模式时,只要Combo光口已插上光模块,则设备重启后,Combo接口都将选择光口模式。
(4)强制指定Combo接口的工作模式时,需要根据本端与对端设备连接的接口类型进行配置。如果本端Combo电口与对端电口相连,则需要强制指定Combo接口的工作模式为copper;如果本端Combo光口与对端光口相连,则需要强制指定Combo接口的工作模式为fiber。