实现端口安全的几种机制 端口安全原理

3. 配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组 。
system-view
System View: return to User View withCtrl+Z.
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
[Quidway]
# 显示隔离组中的端口信息 。
display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
在三层交换机上可以创建多个隔离组,处在同一个隔离组的端口两两之间不能通信,但可以与其他隔离组中的端口通信
例:(华为 S3526)
1. 组网需求
小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、
Ethernet1/0/3、Ethernet1/0/4相连
交换机通过Ethernet1/0/1端口与外部网络相连
小区用户PC2和PC3之间不能互通,但都能与PC4互通
2. 组网图
【实现端口安全的几种机制 端口安全原理】

实现端口安全的几种机制 端口安全原理

文章插图
3. 配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3加入隔离组 。
system-view
System View: return to User View withCtrl+Z.
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3
[Quidway-Ethernet1/0/2] quit
# 由于在ethernet1/0/2已经指明要隔离的端口是ethernet1/0/3 , 所以无需在端口ethernet1/0/3重复指明其隔离端口是ethernet1/0/2,ethernet1/0/3端口将会自动将端口ethernet1/0/2视为隔离端口
在三层交换机上不仅可以实现与二层交换机上相类似的端口隔离的功能还能实现端口与IP地址的绑定 。端口和ip绑定 , 要求数据流量必须通过三层设备,如vlan间通信的时候就可以用到这项技术,但是如果数据流量没有通过三层设备,如vlan内部的通信,端口和ip绑定是没有意义的
例:(华为 S3526)
1. 组网需求
vlan20的网关为交换机的Ethernet1/0/2端口
vlan30的网关为交换机的Ethernet1/0/3端口
交换机通过Ethernet1/0/1端口与外部网络相连
vlan20内的主机只允许IP地址为192.168.20.10的主机通过Ethernet1/0/2端口与外部通信
2. 组网图
3. 配置步骤
# 修改端口类型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 创建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 设置允许通过的主机
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10
[Quidway-Ethernet1/0/2] quit
# 此时vlan20中能通过其网关的就只有192.168.20.10这台主机了
五、ACL(二层、三层)
ACL(Access Control List,访问控制列表)主要用来实现流识别功能 。网络设备为
了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文 。在识别出特
定的报文之后 , 才能根据预先设定的策略允许或禁止相应的数据包通过 。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等 。
由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如
QoS中流分类规则的定义 。
根据应用目的,可将ACL分为下面几种:
基本ACL:只根据三层源IP地址制定规则 。
高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类
型、协议特性等三、四层信息制定规则 。
二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类
型等二层信息制定规则 。
ACL在交换机上的应用方式
1. ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和
流分类 。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使

推荐阅读