端口隔离配置

最新推荐文章于 2024-09-28 20:50:50 发布
最新推荐文章于 2024-09-28 20:50:50 发布
阅读量465 收藏 20
点赞数 20
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LONGSS6/article/details/142618198
版权

实验目的:
掌握端口隔离的配置
实验步骤:
1. 在S1上将G0/0/1和G0/0/2口加入到同一个端口隔离组
2. 配置vlanif1接口,并且将vlan内的arp代理功能打开,实现PC1和PC2能够通信
3. 在全局配置端口隔离模式为二层、三层同时隔离

4.1.1端口隔离
隔离类型
双向隔离
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。

单向隔离
实现不同端口隔离组的接口之间的隔离。缺省情况下,未配置端口单向隔离。

隔离模式
L2(二层隔离三层互通)  
隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。

采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。

ALL(二层三层都隔离)
同一VLAN的不同端口下用户二三层彻底隔离无法通信。

  1. 创建VLAN,并把接口划入到VLAN
  2. [LSW1]vlan 10
    [LSW1-vlan10]q
    [LSW1]vlan 20
    [LSW1-vlan20]q
    [LSW1]interface g0/0/1
    [LSW1-GigabitEthernet0/0/1]port link-type access
    [LSW1-GigabitEthernet0/0/1]port default vlan 10
    [LSW1-GigabitEthernet0/0/1]quit
    [LSW1]interface g0/0/2
    [LSW1-GigabitEthernet0/0/2]port link-type access
    [LSW1-GigabitEthernet0/0/2]port default vlan 10
    [LSW1-GigabitEthernet0/0/2]quit
    [LSW1]interface g0/0/3
    [LSW1-GigabitEthernet0/0/3]port link-type access
    [LSW1-GigabitEthernet0/0/3]port default vlan 10
    [LSW1-GigabitEthernet0/0/3]quit
    [LSW1]interface g0/0/4
    [LSW1-GigabitEthernet0/0/4]port link-type access
    [LSW1-GigabitEthernet0/0/4]port default vlan 20
    [LSW1-GigabitEthernet0/0/4]quit
    [LSW1]interface g0/0/5
    [LSW1-GigabitEthernet0/0/5]port link-type access   
    [LSW1-GigabitEthernet0/0/5]port default vlan 20
    [LSW1-GigabitEthernet0/0/5]quit
  3. 在VLAN10中,PC1,PC2可以访问 PC3,PC1和PC2不能相互访问
  4. [LSW1]port-isolate mode l2 
    [LSW1]interface g0/0/2
    [LSW1-GigabitEthernet0/0/2]port-isolate enable group 10
    [LSW1-GigabitEthernet0/0/2]quit
    [LSW1]interface g0/0/1
    [LSW1-GigabitEthernet0/0/1]port-isolate enable  group 10
    [LSW1-GigabitEthernet0/0/1]quit
  5. 测试PC1、PC2、PC3的联通性
  9. 通过以上输出可以看到PC1与PC2不能相互访问,但是可以访问PC3
  10. 在VLAN20中,PC4主机存在安全隐患,往其他主机发送大量的广播报文,通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
  11. [LSW1]interface g0/0/4
    [LSW1-GigabitEthernet0/0/4]am isolate GigabitEthernet 0/0/5  // g0/0/4的报文不能发给g0/0/5,g0/0/5的报文可以发给g0/0/4
    [LSW1-GigabitEthernet0/0/4]quit
  12. 创建三层接口,让PC1和PC2可以相互访问
  13. [LSW1]interface Vlanif 10
    [LSW1-Vlanif10]ip address 10.1.1.254 24
    [LSW1-Vlanif10]arp-proxy inner-sub-vlan-proxy enable
    [LSW1-Vlanif10]quit
     
  • 总结:

    隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
    采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。
     

23zhgjx-LSS
关注
交换机配置端口隔离示例
weixin_45297127的博客
12-23 5008
实验描述: 端口隔离简介 为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN啊资源。v爱用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以时间隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 端口隔离分为二层隔离三层互通和二层三层都隔离两种模式: Ⅰ如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。 Ⅱ如果用户系统统
linux端口隔离,中兴F822 XPON取消端口隔离配置为交换机
weixin_29147347的博客
05-09 853
设备图:设备配置:设备的Console线是需要专门配置线,如果没有可以自己制作。####################################################################### ## ...
配置端口隔离,实现同一vlan中主机不互通,再配置三层交换机vlanif接口实现二层隔离三层互通。
weixin_45103766的博客
05-05 754
需要在三层交换机中配置vlanif接口,并配置ip地址和pc1(10.1.1.1)pc2(10.1.1.12)处于同一网络:比如vlanif(10.1.1.254),还要开启代理arp功能,这时pc1和2可以互访。原理:通过vlanif接口,pc1发arp请求到三层设备的vlanif接口,vlanif开启了arp代理功能,它代理pc1去请求pc2,然后以自己的vlanif接口去告知pc1。通过端口隔离的方式在二层实现隔离:如把端口1和端口2都放进同一隔离组。两端口所连接主机实现隔离。
华为---端口隔离简介和示例配置
lehe99的专栏
08-18 2047
为了实现接口之间的二层隔离,可以将不同的接口加入不同的VLAN,但这样会浪费有限的VLAN资源。端口隔离可以防止未经授权的访问和攻击,将网络流量隔离,限制了攻击者对敏感数据和网络资源访问,减少攻击面,增强网络安全性。接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,往其他主机发送大量的广播报文,可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
端口隔离技术,access、trunk、hybrid接口的恢复默认值配置
weixin_72194028的博客
12-12 959
端口隔离技术,access、trunk、hybrid接口的恢复默认值配置
vlan端口隔离配置
qq_40907977的博客
07-27 5746
对于大型网络来说,vlan是一种不错的解决办法,但对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了,用户如果还将不同的端口划入不同的VLAN,那么有些浪费成本或资源,怎么办呢?可以采用端口隔离。 采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。 端口隔离一般用于内网中,端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。 一、端口隔离如何
cisco交换机端口隔离的设置教程
10-01
在进行端口隔离配置时,有几点需要注意: - 交换机的配置视具体型号和IOS版本可能会有所不同,请参考官方文档进行操作。 - PVLAN配置相对复杂,需要仔细规划主VLAN和子VLAN的使用,以确保网络通信不受影响。 - PVLAN...
H3C_端口隔离基础配置案例
04-18
在这个基础配置案例中,我们将探讨如何在H3C的V7版本设备上实现端口隔离,特别是针对HCL3.0.1模拟器的配置。 首先,我们需要了解配置环境。在这个例子中,我们使用的是HCL3.0.1,这是一个H3C的网络设备模拟器,适合...
端口隔离配置命令[总结].pdf
10-12
端口隔离配置命令总结 端口隔离配置命令是网络管理中的一种重要配置命令,它可以将多个端口组合成一个隔离组,以便更好地管理和维护网络。本文将详细介绍端口隔离配置命令的使用方法和相关参数。 1.1 端口隔离配置...
华为2300端口隔离配置
03-13
### 华为2300端口隔离配置详解 #### 一、背景介绍 在现代网络环境中,为了增强网络安全性并提高数据传输效率,企业级路由器通常会采用一系列的网络隔离技术来对不同设备间的通信进行限制。其中,“端口隔离”是一种...
007-端口隔离
qq_59621600的博客
07-14 1425
华三交换机端口隔离
端口隔离 Port isolation 华为交换机配置端口隔离
zhurobert的博客
08-17 1019
端口隔离 Port isolation 华为交换机配置端口隔离
配置端口隔离示例
lzwq1288的博客
10-23 2365
配置端口隔离示例 PC1与 PC2之间不能互相访问, PC1与 PC3之间可以互相访问, PC2与 PC3之间可以互相访问 配置思路 采用如下的思路配置端口隔离: 使能 PC1和 PC2相连端口的端口隔离功能,使 PC1与 PC2不能互相访问。 配置端口隔离功能 配置端口隔离模式为二层隔离三层互通。 system-view [Quidway] port-isolate mode l2 配置 G...
以太网交换安全:端口隔离
最新发布
fanshizhiren的博客
09-28 1050
以太交换网络中为了实现报文之间的二层广播域的隔离,用户通常将不同的端口加人不同的 VLAN大型网络中,业务需求种类繁多,只通过 VLAN实现报文的二层隔离,会浪费有限的VLAN资源。而采用端口隔离功能,则可以实现同一 VLAN内端口之间的隔离。同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。可以看到PC1和PC2能够互通,因为端口隔离默认为二层隔离,开启ARP代理后,同一个端口隔离组的设备就可以进行三层隔离了。为了实现不同端口隔离组接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
Eth-Trunk 配置实例学习记录
业余幻想家的博客
07-17 4506
Eth-Trunk 配置实例
华为端口隔离实现原理及配置命令
127.0.0.1的博客
08-12 5756
端口隔离具有很多优点,在某些场景中可以用来提高网络安全性能,也可以用来隔离广播报文。本文将详细介绍华为设备的端口隔离,希望读完后能让您有所收获
HCL 配置端口隔离及VLAN实例
weixin_33974433的博客
03-17 1944
一. 端口隔离 1. 组网需求 (特别注明:模拟器中端口隔离功能不起作用) 如 图1-1 所示,小区用户Host A、Host B、Host C分别与Device的端口GigabitEthernet 1/0/1、GigabitEthernet 1/0/2 、GigabitEthernet 1/0/3 相连, Device 设备通过GigabitEthernet 1/0/4 端口与外部网络相连。...
华为端口隔离实例
Young143的博客
07-17 399
在此基础上,要使PC都互通再配置代理ARP int vlanif 1 ip add 1.0.0.254 8 arp-proxy inner-sub-vlan-proxy enable 再使其不通配置 port-isolate mode all
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值