vlan的端口隔离及端口优化——“道高一尺魔高一丈”
“道高一尺魔高一丈”—vlan的端口隔离及端口优化
目录:端口隔离及优化实验操作与总结
- “道高一尺魔高一丈”—vlan的端口隔离及端口优化
- 端口隔离—制定ACL策略
- 实验拓扑
- 端口隔离—双向隔离(PC1、PC2)
- 实验拓扑
- 端口隔离—单向隔离(PC1、PC2)
- 实验拓扑
- 端口隔离—MUX VLAN
- 实验拓扑
- 端口优化—Super-VLAN、Sub-VlAN
- 实验拓扑
- 实验拓扑
- 实验要求:
1、设置ACL策略使PC1和PC2不能在同一vlan相互通信;
2、设置双向端口隔离使PC1和PC2不能在同一vlan相互通信;
3、设置单向端口隔离使PC1和PC2不能在同一vlan相互通信;
端口隔离—制定ACL策略
实验拓扑
参数 | 参数说明 | 取值 |
---|---|---|
number | 指定由数字标识的一个访问控制列表。 | — |
acl-number | 指定访问控制列表的编号。 | 整数形式。 |
match-order { auto config } | 指定ACL规则的匹配顺序。 | |
all | 指定删除所有的ACL。 |
整数形式
- 2000~2999表示基本ACL范围。
- 3000~3999表示高级ACL范围。
- 4000~4999表示二层ACL范围。
- 5000~5999表示用户自定义ACL范围。
- 6000~9999表示用户ACL范围。
指定ACL规则的匹配顺序
- auto: 匹配规则时系统自动排序(按“深度优先”的顺序)。 若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。
- config:匹配规则时按用户的配置顺序。 指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。
- 如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。
配置S1参数
<S1>system-view
Enter system view, return user view with Ctrl+Z.
[S1]acl
[S1]acl 3000 //制定ACL策略使PC1和PC2不同相互访问
[S1-acl-adv-3000]rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
[S1-acl-adv-3000]dis thi
#
acl number 3000rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
#
return
[S1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //执行ACL策略使其相互不能访问。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1traffic-filter inbound acl 3000
#
return
测试结果:
总结分析:
制定acl访问控制策略能够有效阻止用户进行相互通信,但如果遇到成百上千台的主机,设置ACL策略阻隔不同部门或部门内部之间的通信,这时,制定ACL策略就不是非常简单、方便、高效了。
端口隔离—双向隔离(PC1、PC2)
实验拓扑
端口隔离
安全策略
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。
配置方法
端口隔离包括双向隔离和单向隔离。缺省情况下,端口隔离模式是二层隔离三层互通,若需要配置二三层都隔离可以执行port-isolate mode all
命令配置。若不执行此命令在同一vlan中开启三层vlan,并开启arp代理即可实现通信,即可实现通行。实验如下。
配置S1参数:
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port-isolate enable group 1 //进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port-isolate enable ?group Port isolate group<cr>
[S1-GigabitEthernet0/0/2]port-isolate enable group 1 /进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/2]dis thi
#
interface GigabitEthernet0/0/2port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/2]quit
[S1]display port-isolate group all //查看是否成功加入组中The ports in isolate group 1:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
[S1]
测试结果:
此时未执行port-isolate mode all
命令。配置以下参数即可将上述配置的端口隔离依旧可以正常相互通信。
[S1]interface Vlanif 1
[S1-Vlanif1]ip address 1.0.0.254 8
[S1-Vlanif1]arp-proxy ?enable Enable proxy ARP(Address Resolve Protocol)inner-sub-vlan-proxy Proxy ARP within a VLANinter-sub-vlan-proxy Proxy ARP between VLANs[S1-Vlanif1]arp-proxy inner-sub-vlan-proxy enable
[S1-Vlanif1]dis thi
#
interface Vlanif1ip address 1.0.0.254 255.0.0.0arp-proxy inner-sub-vlan-proxy enable
#
return
[S1-Vlanif1]
简析: 在交换机中开启并配置了三层IP地址,并开启了同一vlan内的arp代理功能,相当于在两台PC之间安放了一个“代理人”,即可相互通信。
解决办法: 执行port-isolate mode all
命令,将三层进行隔离。
[S1]port-isolate ?mode Mode[S1]port-isolate mode ?all Alll2 L2 only[S1]port-isolate mode all
[S1]
再次测试结果:
端口隔离—单向隔离(PC1、PC2)
实验拓扑
配置S1参数:
配置单向隔离
配置GE0/0/1和GE0/0/2单向隔离。
[S1]display current-configuration | include port-isolate
port-isolate mode all
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]am isolate GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1am isolate GigabitEthernet0/0/2
#
return
[S1-GigabitEthernet0/0/1]quit
测试结果:
有趣的端口隔离的文章链接
vlan的端口隔离及端口优化——“道高一尺魔高一丈”相关推荐
- 如何使同vlan中ip禁止访问?端口隔离与vlan有何不同?
在同一个vlan中如何实现端口相互隔离呢?这个在交换机组网项目中也是经常会用到. 对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了, ...
- 端口隔离和VLAN的区别
对于大型网络,我们常常对于ip的规划比较烦恼,也有很多朋友问到,对于1000个以上的终端设备如何去设置它的ip地址呢? 对于大型网络,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好 ...
- 交换机端口隔离技术应用
某公司,由于业务要求,为了保障服务器高可用性,对服务器实现了NLB群集技术.万事有利就有弊,由于NLB群集在实际环境中一般采用多播技术,交换机同一出口下的节点均为收到大量广播,一些网络延时要求较小(如 ...
- 端口隔离是什么?为什么需要端口隔离、如何实现端口隔离?一文解惑
本文给大家介绍什么是端口隔离.为什么需要端口隔离.以及如何实现端口隔离. 让我直接开始! 什么是端口隔离? 为什么需要端口隔离? 端口隔离的原理 1. 硬件隔离 2. 软件隔离 端口隔离的实现方法 V ...
- 华为HCIE RS笔记-16以太网技术端口隔离,Smart Link,Monitor Link,端口镜像
. 端口隔离: 端口隔离可以实现端口之间无法数据通信,端口隔离默认隔离二层广播,三层互通,属于同隔离组中的设备无法实现数据通信,但是可以与其他隔离组中的设备进行通信. 端口隔离配置: [Huawei] ...
- 端口隔离是什么?为什么需要端口隔离、如何实现端口隔离?
目录 一. 什么是端口隔离 二. 为什么需要端口隔离 三. 端口隔离的原理 1. 硬件隔离 2. 软件隔离 四. 端口隔离的实现方法 1. VLAN 2. 网络隔离 3. 防火墙 五. VLAN端口隔 ...
- 华为交换机的端口隔离功能
华为交换机实现端口隔离功能 端口隔离功能原理:在交换机的接口视图下开启此接口的端口隔离功能,交换机默认是将隔离的端口加入到了一个隔离组中,默认是group 1,处于同一个组中的端口之间是不能互相访问的 ...
- 计算机网络 思科模拟器进行交换机端口隔离,跨交换机实现vlan实验
1 交换机端口的隔离 1.1实验内容 对交换机进行简单的配置.建立实验的拓扑图,并在交换机上进行基于端口的VLAN划分.然后通过命令检查VLAN的划分情况并测试同一个VLAN和不同VLAN之间主机的连 ...
- VLAN内端口隔离技术
一.1. 端口隔离技术背景 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在(例如针对ARP.DHCP等协议的攻击.勒索病毒攻击.宾馆等公共场所的广播泛洪攻击等等),不仅造成了网络合法用户 ...
最新文章
- Kosaraju 算法检测有向图的强连通性
- Exchange邮件服务器实现外部邮件的收发
- 增长黑客入门:手把手教你增长模型的实践操作
- Linux安装FTP服务-----vsftpd
- json-tree api_什么是JSON处理(JSON-P API)?
- N元语法模型的数据稀疏问题解决方法之一:Good-Turing平滑
- C++变量未初始的后果
- Python3安装(Linux)
- 在线颜色拾取器 - 资源篇
- 用计算机计算勾股定理,勾股计算器(勾股定理计算器)
- 用matlab绘制P三曲线,科学网—水文频率曲线及MATLAB绘制 - 张凌的博文
- C语言乘方,平方根的使用
- Spring Boot HTTP over JSON 的错误码异常处理
- 剪不断,理还乱--Oracle的字符集乱码问题
- 简单的stm32入门小程序(交通信号灯)STM32F103C8T6
- Android6.0运行时权限(危险权限列表)
- Android -- Wifi启动流程分析
- uniapp做小程序的图片(视频)上传的组件封装
- 数字化+智能化,低代码平台助力能源行业创新赋能
- 德州仪器-TPS54302芯片(4.5V~28V降压至5V,抑制雷击浪涌电流,工作功率低功耗)
热门文章
- vim全局搜索当前目录
- 学习记录466@Java Calender类、TimeUnit类以及 ScheduledExecutorService实现定时任务
- 如何用Java写一个斗地主(一)
- 在eclipse启动tomcat运行一个web程序,报java.lang.OutOfMemoryError: PermGen space
- macbook无法下载软件问题解决
- OpenCV之Vec3f
- Linux版本_Linux版本说明及应用领域
- QT error: assigning to ‘QListwidget *‘ from incompatible type ‘QListWidget *‘
- Java支持latex,基于Java和LaTeX的文档自动生成技术研究
- 编译问题追踪 :Connect to maven.google.com:443 [maven.google.com/172.217.160.110] failed: Connection timed