wordpress建站环境搭建,成品短视频app的推荐功能,北京南站核酸检测地点,一个人做网站好做吗目录
1. 端口隔离概念
2. 端口隔离作用
3. 端口隔离优点
4. 端口隔离缺点
5. 端口隔离的方法和应用场景
6. 端口隔离配置
6.1 端口隔离相关配置命令
6.2 端口隔离配置思路
7. 示例配置
7.1 示例场景
7.2 网络拓扑图
7.3 基本配置
7.4端口隔离配置与验证
7.4.1 双…目录
1. 端口隔离概念
2. 端口隔离作用
3. 端口隔离优点
4. 端口隔离缺点
5. 端口隔离的方法和应用场景
6. 端口隔离配置
6.1 端口隔离相关配置命令
6.2 端口隔离配置思路
7. 示例配置
7.1 示例场景
7.2 网络拓扑图
7.3 基本配置
7.4端口隔离配置与验证
7.4.1 双向隔离配置与验证
7.4.2 双向隔离配置与验证 1. 端口隔离概念 端口隔离是一种网络安全技术用于在交换机或路由器中对不同网络端口之间的流量进行隔离和控制。它通过限制不同端口之间的通信防止未经授权的数据流进入或离开特定的网络区域。
2. 端口隔离作用
实现用户隔离端口隔离技术可以实现对网络进行详细隔离和控制。比如居民区网络各住户之间不能相互访问。配置端口隔离后无论端口在哪个vlan二层都不能相互通信。提升网络安全性端口隔离可以防止未经授权的访问和攻击将网络流量隔离限制了攻击者对敏感数据和网络资源访问减少攻击面增强网络安全性。比如一个感染病毒的设备连接到一个隔离端口上攻击者将难以访问其他网络资源。防止网络中的数据泄露将不同类型的数据流隔离到不同的端口上可以避免敏感数据与其他非敏感数据混合传输降低数据泄露风险。比如金融机构中可以将交易数据和客户个人信息隔离不同的网络区域中。提高网络性能和可靠性端口隔离可以限制不同端口之间的流量竞争避免网络拥塞和性能下降。 3. 端口隔离优点 为了实现报文之间的二层隔离用户可以将不同的端口加入不同的VLAN但这样会浪费有限的VLAN资源使用ACL控制策略实现特定源IP地址访问目标IP地址但这样很不灵活。 采用端口隔离功能可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
4. 端口隔离缺点
计算机之间共享不能实现隔离只能在一台交换机上实现不能在堆叠交换机之间实现如果是堆叠环境只能改成交换机之间级连。
5. 端口隔离的方法和应用场景 端口隔离的方法 应用场景 配置接口单向隔离 接入同一个设备不同接口的多台主机若某台主机存在安全隐患往其他主机发送大量的广播报文可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。同一端口隔离组的接口之间互相隔离不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离可以通过配置接口之间的单向隔离来实现。 配置端口隔离组 为了实现接口之间的二层隔离可以将不同的接口加入不同的VLAN但这样会浪费有限的VLAN资源。采用端口隔离特性可以实现同一VLAN内接口之间的隔离。用户只需要将接口加入到隔离组中就可以实现隔离组内接口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
6. 端口隔离配置
6.1 端口隔离相关配置命令
[Switch-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]使能端口隔离功能。
[Switch-GigabitEthernet0/0/1] am isolate { interface-type interface-number }1-8配置端口单向隔离。
6.2 端口隔离配置思路 双向隔离配置思路
基础配置终端IP、VLAN划分等配置配置端口加入到隔离组中实现隔离组内接口之间二层数据的隔离。 缺省情况下未使能端口隔离功能。 单向隔离配置思路
基础配置终端IP、VLAN划分等配置配置端口单向隔离。
缺省情况下未配置端口单向隔离。
7. 示例配置
7.1 示例场景 某企业研发办公室员工分为本公司员工、A合作方公司员工和B合作方公司员工。PC4和PC5分别代表A、B合作方员工PC2和PC3代表本公司研发员工PC1代表本公司网管员工。公司希望在节省VLAN资源的前提下实现本公司员工和A、B两个合作方公司之间可以相互通信但是A、B两个合作方公司员工之间无法通信。假设PC2主机发送大量的广播报文通过配置接口间单向隔离实现其他主机对该主机报文的隔离。
7.2 网络拓扑图 7.3 基本配置
SW接入交换机基本配置
system-view
sysname SW
vlan batch 3 10
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 3 10
interface vlan 3
ip address 192.168.3.254 24
interface vlan 10
ip address 192.168.10.254 24system-view
sysname SW1
vlan batch 3 10
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3 10
interface Ethernet0/0/2
port link-type access
port default vlan 3
interface Ethernet0/0/3
port link-type access
port default vlan 3
interface Ethernet0/0/4
port link-type access
port default vlan 3
interface Ethernet0/0/5
port link-type access
port default vlan 3
interface Ethernet0/0/6
port link-type access
port default vlan 10
quit
interface Vlanif 10
ip address 192.168.10.253 24
Huaweisystem-view [Huawei]sysname SW [SW]vlan batch 3 10 [SW]interface GigabitEthernet 0/0/1 [SW-GigabitEthernet0/0/1]port link-type trunk [SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 3 10 [SW-GigabitEthernet0/0/1]interface vlan 3 [SW-Vlanif3]ip address 192.168.3.254 24 [SW-Vlanif3]interface vlan 10 [SW-Vlanif10]ip address 192.168.10.254 24
SW1接入交换机基本配置 Huaweisystem-view [Huawei]sysname SW1 [SW1]vlan batch 3 10 [SW1]interface Ethernet0/0/1 [SW1-Ethernet0/0/1]port link-type trunk [SW1-Ethernet0/0/1]port trunk allow-pass vlan 3 10 [SW1-Ethernet0/0/1]interface Ethernet0/0/2 [SW1-Ethernet0/0/2]port link-type access [SW1-Ethernet0/0/2]port default vlan 3 [SW1-Ethernet0/0/2]interface Ethernet0/0/3 [SW1-Ethernet0/0/3]port link-type access [SW1-Ethernet0/0/3]port default vlan 3 [SW1-Ethernet0/0/3]interface Ethernet0/0/4 [SW1-Ethernet0/0/4]port link-type access [SW1-Ethernet0/0/4]port default vlan 3 [SW1-Ethernet0/0/4]interface Ethernet0/0/5 [SW1-Ethernet0/0/5]port link-type access [SW1-Ethernet0/0/5]port default vlan 3 [SW1-Ethernet0/0/5]interface Ethernet0/0/6 [SW1-Ethernet0/0/6]port link-type access [SW1-Ethernet0/0/6]port default vlan 10 [SW1-Ethernet0/0/6]quit [SW1]interface Vlanif 10 [SW1-Vlanif10]ip address 192.168.10.253 24
PC配置 其他PC与上图类似不再赘述。
7.4端口隔离配置与验证
7.4.1 双向隔离配置与验证 【1】在未连接网关设备SW交换机情况下即二层通信实现本公司员工和A、B两个合作方公司之间可以相互通信但是A、B两个合作方公司员工之间无法通信。
相关配置如下
[SW-GigabitEthernet0/0/1] shutdown
[SW1]interface Ethernet0/0/3 [SW1-Ethernet0/0/3]port-isolate enable group 3 [SW1-Ethernet0/0/3]interface Ethernet0/0/4 [SW1-Ethernet0/0/4]port-isolate enable group 3
测试验证 A、B两个合作方公司员工之间无法通信但和本公司员工可以正常通信。
【2】连接网关设备后再次测试A、B两个合作方公司员工之间是否可以正常通信
[SW-GigabitEthernet0/0/1]undo shutdown A、B两个合作方公司员工之间无法通信。
【3】假设实现本公司员工1和2之间可以相互通信但是不能和财务进行通信。 在目前配置下PC1和PC2、PC3不在同一网段之间是三层通信。
相关配置如下
[SW1]interface Ethernet0/0/2 [SW1-Ethernet0/0/2]port-isolate enable group 4 [SW1-Ethernet0/0/2]interface Ethernet0/0/6 [SW1-Ethernet0/0/6]port-isolate enable group 4 [SW1-Ethernet0/0/6]port-isolate enable group 5 [SW1-Ethernet0/0/6]interface Ethernet0/0/5 [SW1-Ethernet0/0/5]port-isolate enable group 5
测试验证 在此配置下端口隔离无法隔离三层通信。
【4】设置PC1和PC2、PC3都在同一网段看能否实现本公司员工1和2之间可以相互通信但是不能和财务进行通信。 相关配置如下 [SW1]interface eth0/0/6 [SW1-Ethernet0/0/6]port default vlan 3
[SW1]interface Ethernet0/0/2 [SW1-Ethernet0/0/2]port-isolate enable group 4 [SW1-Ethernet0/0/2]interface Ethernet0/0/6 [SW1-Ethernet0/0/6]port-isolate enable group 4 [SW1-Ethernet0/0/6]port-isolate enable group 5 [SW1-Ethernet0/0/6]interface Ethernet0/0/5 [SW1-Ethernet0/0/5]port-isolate enable group 5
测试验证 在此配置下端口隔离实现了二层隔离PC21和PC3之间可以相互通信但是不能和财务PC1进行通信。
7.4.2 双向隔离配置与验证 假设PC2主机发送大量的广播报文通过配置接口间单向隔离实现其他主机对该主机报文的隔离。 相关配置如下
[SW1-Ethernet0/0/5]am isolate Ethernet 0/0/2 to 0/0/4 //SW1-Ethernet0/0/5到SW1-Ethernet0/0/2 to 0/0/4方向数据隔离
测试验证 PC2和不在同一隔离组的端口进行通信。 如上图所示通过ping测试和抓包可以看出PC2到PC5的数据被阻断PC2 ping PC5发出的ARP广播被SW1-Ethernet0/0/5阻断得不到PC5的回复PC5 ping PC2PC2收到了PC5的广播但PC2的回复被SW1-Ethernet0/0/5阻断 PC2到PC3和PC4与PC2到PC5相似不再测试验证。
参考链接
https://support.huawei.com/enterprise/zh/doc/EDOC1000141427/4c8ff006
https://support.huawei.com/enterprise/zh/doc/EDOC1100203235/8fb91d07https://support.huawei.com/enterprise/zh/doc/EDOC1100203235/8fb91d0
