H3C交换机端口安全技术---端口隔离的应用

  相信大家所在公司都会有财务部门,普通员工和领导,网络工程师在配置的时候为了安全考虑,会用一些硬件上自身支持的功能区做一些安全措施。为了方便说明需求,我特意画了一张简单拓扑图,以方便我说明。如下图:

  

需求如下:

    1>.VLAN10中的pc无法实现互相访问;(端口隔离技术)

    2>.VLAN10中的pc均可以访问共享服务器;(Trunk技术)

    3>.VLAN20中的所有pc可以互相访问;(access与trunk技术)

此处试验,我用的是华为交换机配置的,配置过程如下:

注意:我此处将"1楼弱点交换机"的设备名称更改为“SW1”,将“2楼弱点交换机”的设备更改为“SW2”

1楼弱点交换机配置如下:

 SW1配置详解:

 [Huawei]sysname SW1   #更改设备名称

 [SW1]interface GigabitEthernet 0/0/1   #进入接口配置模式

 [SW1-GigabitEthernet0/0/1]port link-type access   #将该接口链路类型配置成access模式

 [SW1-GigabitEthernet0/0/1]quit  #退出接口配置模式

 [SW1]interface GigabitEthernet 0/0/3

 [SW1-GigabitEthernet0/0/3]port link-type access

 [SW1-GigabitEthernet0/0/3]quit

 [SW1]interface GigabitEthernet 0/0/7

 [SW1-GigabitEthernet0/0/7]port link-type access

 [SW1-GigabitEthernet0/0/7]quit

 [SW1]vlan 10    #创建一个VLAN其ID为10

 [SW1-vlan10]description caiwu   #对VLAN10进行描述,以便告诉运维人员这个VLAN10是用来干嘛的

 [SW1-vlan10]port GigabitEthernet 0/0/1  #将GigabitEthernet 0/0/1 和GigabitEthernet 0/0/3 两个端口加入该VLAN之中。

 [SW1-vlan10]port GigabitEthernet 0/0/3

 [SW1]display vlan 10   #查看VLAN10的信息

 [SW1]interface GigabitEthernet 0/0/2

 [SW1-GigabitEthernet0/0/2]port link-type access

 [SW1-GigabitEthernet0/0/2]quit

 [SW1]interface GigabitEthernet 0/0/4

 [SW1-GigabitEthernet0/0/4]port link-type access

 [SW1-GigabitEthernet0/0/4]quit

 [SW1]vlan 20

 [SW1-vlan20]description yuangong

 [SW1-vlan20]port GigabitEthernet 0/0/2

 [SW1-vlan20]port GigabitEthernet 0/0/4

 [SW1-vlan20]quit

 [SW1]display vlan 20

 [SW1]interface GigabitEthernet 0/0/10

 [SW1-GigabitEthernet0/0/10]port link-type trunk   #配置链路模式为trunk模式

 [SW1-GigabitEthernet0/0/10]port trunk allow-pass vlan all   #该trunk口允许所有的VLAN通过

 [SW1-GigabitEthernet0/0/10]quit

 [SW1]display vlan 10 to 20  #显示VLAN10 到20之间所有的VLAN信息,我们仅仅创建了2个VLAN,所以我们应该只能看到2个VLAN信息哟!

 --------------------------------------------------------------------------------

 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;

 MP: Vlan-mapping;               ST: Vlan-stacking;

 #: ProtocolTransparent-vlan;    *: Management-vlan;

 --------------------------------------------------------------------------------

 VID  Type    Ports

 --------------------------------------------------------------------------------

 10   common  UT:GE0/0/1(U)      GE0/0/3(U)      GE0/0/7(U)

              TG:GE0/0/10(U)

 20   common  UT:GE0/0/2(U)      GE0/0/4(U)

              TG:GE0/0/10(U)           

 VID  Status  Property      MAC-LRN Statistics Description

 --------------------------------------------------------------------------------

 10   enable  default       enable  disable    caiwu

 20   enable  default       enable  disable    yuangong

 [SW1]

 [SW1]interface GigabitEthernet 0/0/7

 [SW1-GigabitEthernet0/0/7]port-isolate enable  #启用端口隔离功能,注意的是,只有开启该功能的的端口不能互相访问,换句话说就是,在同一个VLAN中如果有一个端口没有开启该服务,还是可以访问这个端口的IP哟,如果你讲那个能访问的端口也启用该功能的那就不能互相访问啦!

 [SW1-GigabitEthernet0/0/7]quit

 [SW1]interface GigabitEthernet 0/0/1

 [SW1-GigabitEthernet0/0/1]port-isolate enable

 [SW1-GigabitEthernet0/0/1]quit

 [SW1]interface GigabitEthernet 0/0/3

 [SW1-GigabitEthernet0/0/3]port-isolate enable

 [SW1-GigabitEthernet0/0/3]quit

2楼弱点交换机配置如下:

 SW2配置详解:

 [Huawei]sysname SW2

 [SW2]interface Ethernet 0/0/5

 [SW2-Ethernet0/0/5]port link-type access

 [SW2-Ethernet0/0/5]quit

 [SW2]interface Ethernet 0/0/6

 [SW2-Ethernet0/0/6]port link-type access

 [SW2-Ethernet0/0/6]quit

 [SW2]vlan 10

 [SW2-vlan10]description caiwu

 [SW2-vlan10]port Ethernet 0/0/5

 [SW2-vlan10]quit

 [SW2]vlan 20

 [SW2-vlan20]description yuangong

 [SW2-vlan20]port Ethernet 0/0/6

 [SW2-vlan20]quit

 [SW2]interface Ethernet 0/0/10

 [SW2-Ethernet0/0/10]port link-type trunk

 [SW2-Ethernet0/0/10]port trunk allow-pass vlan all

 [SW2-Ethernet0/0/10]quit

 [SW2]display vlan 10 to 20

 --------------------------------------------------------------------------------

 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;

 MP: Vlan-mapping;               ST: Vlan-stacking;

 #: ProtocolTransparent-vlan;    *: Management-vlan;

 --------------------------------------------------------------------------------

 VID  Type    Ports

 --------------------------------------------------------------------------------

 10   common  UT:Eth0/0/5(U)

 20   common  UT:Eth0/0/6(U)           

 VID  Status  Property      MAC-LRN Statistics Description

 --------------------------------------------------------------------------------

 10   enable  default       enable  disable    caiwu

 20   enable  default       enable  disable    yuangong

 [SW2]

测试结果如下:

“总经理电脑”测试结果如下:

 PC>ping 192.168.10.3

 Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 PC>ping 192.168.10.7

 Ping 192.168.10.7: 32 data bytes, Press Ctrl_C to break

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 From 192.168.10.1: Destination host unreachable

 PC>ping 192.168.10.5

 Ping 192.168.10.5: 32 data bytes, Press Ctrl_C to break

 From 192.168.10.5: bytes=32 seq=1 ttl=128 time=31 ms

 From 192.168.10.5: bytes=32 seq=2 ttl=128 time=16 ms

 From 192.168.10.5: bytes=32 seq=3 ttl=128 time=32 ms

 From 192.168.10.5: bytes=32 seq=4 ttl=128 time=31 ms

 From 192.168.10.5: bytes=32 seq=5 ttl=128 time=62 ms

 --- 192.168.10.5 ping statistics ---

   5 packet(s) transmitted

   5 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 16/34/62 ms

 PC>

“普通员工电脑_2”测试结果如下:

 PC>ping 192.168.20.4

 Ping 192.168.20.4: 32 data bytes, Press Ctrl_C to break

 From 192.168.20.4: bytes=32 seq=1 ttl=128 time=31 ms

 --- 192.168.20.4 ping statistics ---

   1 packet(s) transmitted

   1 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 31/31/31 ms

 PC>ping 192.168.20.2

 Ping 192.168.20.2: 32 data bytes, Press Ctrl_C to break

 From 192.168.20.2: bytes=32 seq=1 ttl=128 time<1 ms

 --- 192.168.20.2 ping statistics ---

   1 packet(s) transmitted

   1 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 0/0/0 ms

 PC>ping 192.168.20.6

 Ping 192.168.20.6: 32 data bytes, Press Ctrl_C to break

 From 192.168.20.6: bytes=32 seq=1 ttl=128 time=46 ms

 --- 192.168.20.6 ping statistics ---

   1 packet(s) transmitted

   1 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 46/46/46 ms

 PC>ipconfig

 Link local IPv6 address...........: fe80::5689:98ff:fecf:488

 IPv6 address......................: :: / 128

 IPv6 gateway......................: ::

 IPv4 address......................: 192.168.20.2

 Subnet mask.......................: 255.255.255.0

 Gateway...........................: 0.0.0.0

 Physical address..................: 54-89-98-CF-04-88

 DNS server........................:

 PC>

H3C配置注意事项:

配置端口隔离部分:

需要在放行的端口配置:
[SW2-Ethernet0/0/5]port-isolate uplink-port
在不放行的端口配置:
[SW1-GigabitEthernet0/0/1]port-isolate enable

配置trunk部分:
[SW2-Ethernet0/0/10]port link-type trunk
[SW2-Ethernet0/0/10]port trunk permit vlan all

下面让我们一起看一下H3C配置过程:

交换机端口安全技术

【实验目的】

l  掌握802.1X的基本配置

l  掌握端口隔离的基本配置

l  掌握端口绑定技术基本配置

【实验要求】

根据要求为交换机配置相应的端口安全技术

【实验设备】

交换机一台、PC机两台、网线两根、console线

【实验拓扑】

【实验过程】

一、配置802.1X

1、IP地址规划

设备名称

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

2、实验之前先测试网络的连通性

3、在交换机上启用802.1X协议并创建本地用户

[SW1]dot1x

[SW1]dot1x interface e0/4/0 e0/4/1

[SW1]local-user h3cne

[SW1-luser-h3cne]service-type lan-access

[SW1-luser-h3cne]password simple h3cse

[SW1-luser-h3cne]qu

[SW1]

4、验证 配置完成后,再检查一下网络的连通性,测试结果应该是不通的。

二、配置端口隔离

1、IP地址规划

设备名称

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

2、在交换机上启用端口隔离,设置端口E0/4/0和E0/4/1为隔离组成员,端口E0/4/7为隔离组的上行端口

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]port-isolate enable

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]port-isolate enable

[SW1-Ethernet0/4/1]qu

[SW1]interface e0/4/7

[SW1-Ethernet0/4/7]port-isolate uplink-port

[SW1-Ethernet0/4/7]qu

[SW1]

3、显示隔离组信息

4、测试网络的连通性,结果应该是不通的。

三、配置端口绑定

1、IP地址规划

设备名称

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

2、在交换机上启用端口绑定,设置端口e/4/0与PC1的MAC地址绑定,端口e/4/1与PC2的MAC地址绑定。

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]user-bind  ip-addr 192.168.1.1 mac-address 0010-233D-5695

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]user-bind  ip-addr 192.168.1.2 mac-address 0013-728E-4751

[SW1-Ethernet0/4/1]qu

3、测试网络的连通性,测试结果应该是不通

【思考拓展】

在实验一 配置802.1X中,使用交换机内置的本地服务器对用户进行了本地认证。可不可以不再交换机上配置用户名、密码等信息,而对用户进行认证?

根据隔离组信息可以看出E/4/0和e/4/1在隔离组中,E0/4/7为上行端口

H3C交换机端口安全技术之端口隔离的应用的更多相关文章

  1. 详解H3C交换机“端口安全”功能

    以下内容摘自正在全面热销的最新网络设备图书“豪华四件套”之一——<H3C交换机配置与管理完全手册>(第二版)(其余三本分别是:<Cisco交换机配置与管理完全手册>(第二版). ...

  2. H3C交换机端口链路聚合

    H3C交换机端口链路聚合 以太网链路聚合 -- 以太网链路聚合配置命令 -- lacp system-prioritylacp system-priority命令用来配置系统的LACP优先级.undo ...

  3. STP根交换机,指定端口,根端口,阻塞端口

    STP判断各交换机端口(指定端口:DP;根端口:RP;阻塞端口:AP) 判断步骤: 1.选举根交换机: 判断对象:所有运行STP协议的交换机中选出一个; 判断依据:交换机中选择网桥ID值(交换机优先级 ...

  4. [CISCO] 交换机间链路聚合端口聚合

    [CISCO] 交换机间链路聚合端口聚合 一.Introduction 端口通道( port channel ) 是一种聚合多个物理接口 ( that ) 创建一个逻辑接口.你可以捆扎( bundle ...

  5. H3C交换机配置

    h3c 交换机的配置命令 通过 console 连接到交换机 交换机所使用的 console 接口看上去像是一个普通的 RJ45 网卡接口,但是并不能使用普通的网线与 PC 连接 ^_^ .它要通过 ...

  6. H3C交换机S5500划分VLAN

    好记性不如烂笔头! H3C交换机S5500划分VLAN       将H3C S5500换机现在需要分三网段,分别是VLAN14,VLAN15,VLAN16,交换机中默认全部口是VLAN1.   H3 ...

  7. H3C交换机配置命令(收集)

    1:配置登录用户,口令等 <H3C>                   //用户直行模式提示符,用户视图 <H3C>system-view        //进入配置视图 [ ...

  8. CentOS6.5下搭建LAMP+FreeRadius+Daloradius Web管理和TP-LINK路由器、H3C交换机连接,实现,上网认证和记账功能

    什么是RADIUS服务: RADIUS:(Remote Authentication Dial In User Service)中文名为远程用户拨号认证服务,简称RADIUS,是目前应用最广泛的AAA ...

  9. H3C交换机流量镜像

    今天需要对交换机进行本地流量镜像,在此记录: 交换机:H3C S5120 配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口. 表1-1 配置本地端口镜像 操作 命 ...

随机推荐

  1. 安装mysql解压版时遇到的错误

    平常都是使用exe安装mysql,今天使用解压包的,遇到了一系列问题: 环境:win10 mysql版本:mysql-5.7.21-winx64 开始一直用该网页的教程 https://www.cnb ...

  2. js/jquery禁止页面回退

    $(function() { //防止页面后退 history.pushState(null, null, document.URL); window.addEventListener('popsta ...

  3. Linux 文件系统概览

    本文导航 -定义07% -文件系统的基本功能12% -目录结构26% -Linux 统一目录结构50% -文件系统类型74% -挂载81% -结论90% -下个月92%   本文旨在高屋建瓴地来讨论 ...

  4. MySQL下载安装详情教程

    1.下载MySQL数据库可以访问官方网站:https://www.mysql.com/ 2.点击DOWNLOADS模块下的Community模块下的MySQL Community Server进行下载 ...

  5. atan和unwrap解卷绕

    要计算一个系统相频特性,就要用到反正切函数,计算机中反正切函数规定,在一.二象限中的角度为0-pi,三四象限的角度为0--pi. 若一个角度从0变到2pi,但实际得到的结果是0-pi,再由-pi-0, ...

  6. python 模块之-logging

    python  模块logging import logging ###  简单使用格式    日志级别等级CRITICAL > ERROR > WARNING > INFO > ...

  7. BZOJ5343[Ctsc2018]混合果汁——主席树+二分答案

    题目链接: CTSC2018混合果汁 显然如果美味度高的合法那么美味度低的一定合法,因为美味度低的可选方案包含美味度高的可选方案. 那么我们二分一个美味度作为答案然后考虑如何验证? 选择时显然要贪心的 ...

  8. BZOJ1926[Sdoi2010]粟粟的书架——二分答案+主席树

    题目描述 幸福幼儿园 B29 班的粟粟是一个聪明机灵.乖巧可爱的小朋友,她的爱好是画画和读书,尤其喜欢 Thomas H. Co rmen 的文章.粟粟家中有一个 R行C 列的巨型书架,书架的每一个位 ...

  9. BZOJ4530 BJOI2014大融合(线段树合并+并查集+dfs序)

    易知所求的是两棵子树大小的乘积.先建出最后所得到的树,求出dfs序和子树大小.之后考虑如何在动态加边过程中维护子树大小.这个可以用树剖比较简单的实现,但还有一种更快更优美的做法就是线段树合并.对每个点 ...

  10. BZOJ5297 [CQOI2018] 交互网络 【MatrixTree定理】

    题目分析: 这题是一道板题,属于MatrixTree定理的简单拓展,邻接矩阵与有向图邻接矩阵一致,度数矩阵作为入度矩阵.然后高斯消元即可. 代码: #include<bits/stdc++.h& ...