端口隔离和端口安全

采用端口隔离功能,可以实现同一VLAN内端口之间的隔离

端口隔离 可以二层隔离 也可以三层隔离

[Huawei]port-isolate mode ?
all All
l2 L2 only

缺省情况下,端口隔离模式为二层隔离三层互通。

如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。

S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2750、S5700LI、S5720LI、S5720S-LI、S5710-X-LI、S5700S-LI、S6720LI、S6720S-LI仅支持二层隔离三层互通。

[Huawei-GigabitEthernet0/0/2]port-isolate enable group 1 //将当前端口加入到端口隔离组1中

[Huawei-GigabitEthernet0/0/2]port-isolate enable group ?
INTEGER<1-64> Port isolate group-id //华为交换机默认最多支持64个端口隔离组

同一个端口隔离组中的PC机不能通信(二层不通信或二层三层都不通信)

配置注意事项:
S系列交换机均支持配置二层隔离三层互通模式。
S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机仅V100R006C05版本仅S2700SI、S2700EI不支持二层三层都隔离模式,V100R002及后续版本S1720、S2720、S2750EI、S5700LI、S5700S-LI不支持二层三层都隔离模式。
如果不是特殊情况要求,建议用户不要将上行口和下行口加入到同一端口隔离组中,否则上行口和下行口之间不能相互通信。

端口安全

现网中有非法用户对接入设备、汇聚交换机、核心交换机进行一个非法的操作

如何去防止非法用户对接入设备或汇聚设备进行非法***

限制MAC地址的学习 并不是禁止学习(真正的禁学习 配置交换机接口的学习MAC地址上限)

接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。

一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/-
5489-98d5-5aa8 10 - - Eth0/0/1 dynamic 0/-
5489-980b-759d 10 - - Eth0/0/3 dynamic 0/-

Total matching items on slot 0 displayed = 3

1.安全动态MAC地址
[Huawei-Ethernet0/0/1]port-security enable //开启端口安全功能 MAC地址不老化 交换机仍然可以学习非法用户的MAC地址

一台交换机上分别接入了PC1 PC2 PC3三台主机 开启端口安全 PC1和PC3通信

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security - 默认情况下这个表项不会老化 配置老化时间
5489-980b-759d 10 - - Eth0/0/3 security - 重启设备或断开连接MAC地址都消失

Total matching items on slot 0 displayed = 2

MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98f3-3efb 10 - - Eth0/0/2 dynamic 0/- 没有老化

Total matching items on slot 0 displayed = 1

过了五分钟 MAC地址表的变化 dynamic 学习到的表项没有了

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-980b-759d 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

断开e0/0/3接口的连接(MAC地址表没有 重启设备MAC地址表也没有):

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -

Total matching items on slot 0 displayed = 1

交换机上接入了非法用记PC4 (5489-9859-09a1) 依然可以学到

[Huawei]dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 security -
5489-9859-09a1 10 - - Eth0/0/3 security -

Total matching items on slot 0 displayed = 2

2.Sticky MAC地址

[Huawei-Ethernet0/0/3]port-security mac-address sticky //配置接口的端口安全 sticky mac方式

一台交换机上分别接入了PC1 PC2 PC3三台主机 PC1和PC2通信 PC1和PC3通信

[Huawei]display mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky - 不老化 手工保存后 重启后表项存在
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky -

Total matching items on slot 0 displayed = 3

<Huawei>dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - 接口3断开物理连接 表项存在

Total matching items on slot 0 displayed = 3

接口3上接入了非法用户PC4(5489-9859-09a1)

<Huawei>dis mac-address
MAC address table of slot 0:

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel

5489-98d5-5aa8 10 - - Eth0/0/1 sticky -
5489-98f3-3efb 10 - - Eth0/0/2 sticky -
5489-980b-759d 10 - - Eth0/0/3 sticky - MAC地址表项没有变 防止非法用户的接入

Total matching items on slot 0 displayed = 3

3.安全静态MAC地址(学习MAC地址上限默认是1 )

[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10
Error: Security MAC number or Sticky MAC number reach the upper limit. //MAC地址表学习的数目达到上限

配置下面这个命令之前一定要这个接口上没有MAC地址表项 如果有,则提示上面错误

[Huawei-Ethernet0/0/1]port-security mac-address sticky
[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-98d5-5aa8 vlan 10 //配置端口安全 静态绑定

无论配置上面这三个端口安全中的哪一种 如果有非法用户接入 不会提示

[Huawei-Ethernet0/0/3]port-security protect-action ? //配置端口安全学习MAC地址后达到上限 告警
protect Discard packets //只丢弃源MAC地址不存在的报文,不上报告警。
restrict Discard packets and warning // 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
shutdown Shutdown //接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

[Huawei-GigabitEthernet0/0/1]port-security enable
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 3 //配置当前接口学习MAC地址数目上限为3

原文地址:http://blog.51cto.com/6306952/2287414

时间: 2024-10-09 05:01:39

端口隔离和端口安全的相关文章

super-vlan(聚合vlan)、mux-vlan以及端口隔离(port-isolate)的特点

Super-VLAN: 实现二层隔离,三层互通: 所有的sub-VLAN的三层通信都需要通过super-vlan这个网关来实现: 大型网络中,节省了IP资源.只需配置Super-vlan地址即可实现VLAN间通信: Mux-VLAN: 实现VLAN间以及VLAN内部的用户.流量的隔离与控制 划分主VLAN,从VLAN,从VLAN包含互通型从VLAN和隔离型从VLAN 主VLAN可以与Mux VLAN中的任何端口通信 互通型从VLAN内的接口可以互相通信,互通型从VLAN组之间不能相互通信: 隔离

端口隔离技术

什么是端口隔离? 端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源.采用端口隔离特性,可以实现同一VLAN内端口之间的隔离.用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离.端口隔离功能为用户提供了更安全.更灵活的组网方案. 配置实战:只能实现在同一vlan下面隔离通信,不同vlan不行 [HuiXing-core-backup]interface GigabitEthernet0/0/1 description TO-

端口隔离技术的灵活运用--分层端口隔离

一背景分析 隔离广播域,防止arp攻击我们通常的方法有两种,一种是vlan,另外一种是端口隔离技术,这两种方法各有自己的特点与优势. 端口隔离技术在实际组网中应用十分广泛,再接入层使用端口隔离技术能有效的阻断各个端口之间的二,三层流量.能够有效的防治arp攻击.但是端口隔离具有本地性不同交换机相同vlan端口隔离就起不到限制的作用,广播报文还是能够发送给其他交换机的所有端口. Vlan技术本身就能限制广播域,在接入层使用hybrid技术可以使一个端口属于一个vlan从而使这种方式能具有全局性,能

华为交换机端口隔离

华为交换机端口隔离,实现的是交换机端口之间的不能互通,直接在每个接口下面配置port—isolate  enable命令.但是上联口不能配置port-isolate命令,下联口可以配置port-isolate命令.该命令是在同一vlan下的端口实现不能互通. sysname # vlan batch 1 888 964 # bpdu enable # cluster enable ntdp enable ntdp hop 16 ndp enable # interface Ethernet0/0

switch端口隔离

switch端口隔离:实现二层同一vlan地址隔离通信! SWITCH的配置: vlan batch 10interface GigabitEthernet0/0/1port link-type accessport default vlan 10port-isolate enable group 1 //加入group1实现隔离 interface GigabitEthernet0/0/2port link-type accessport default vlan 10port-isolate

H3C模拟器VLAN配置与端口隔离

基于端口的VLAN典型配置举例1.组网需求如图1所示,pc3和pc6属于部门A,但是通过不同的设备接入公司网络:pc5和pc4属于部门B,也通过不同的设备接入公司网络.为了通信的安全性,以及避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量.其中部门A使用VLAN 100,部门B使用VLAN 200.现要求同一VLAN内的主机能够互通,即Host A和Host C能够互通,Host B和Host D能够互通.![]图1 基于端口的VLAN组网图 (1)配置MSR36-20_1配置

HCL 配置端口隔离及VLAN实例

一. 端口隔离 1. 组网需求 (特别注明:模拟器中端口隔离功能不起作用) 如 图1-1 所示,小区用户Host A.Host B.Host C分别与Device的端口GigabitEthernet 1/0/1.GigabitEthernet 1/0/2 .GigabitEthernet 1/0/3 相连, Device 设备通过GigabitEthernet 1/0/4 端口与外部网络相连.现需要实现小区用户Host A.Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信

华三模拟器配置端口隔离

(特别注明:模拟器中端口隔离功能不起作用) 组网需求如 图1-1 所示,小区用户Host A.Host B.Host C分别与Device的端口GigabitEthernet 1/0/1.GigabitEthernet 1/0/2 .GigabitEthernet 1/0/3 相连, Device 设备通过GigabitEthernet 1/0/4 端口与外部网络相连.现需要实现小区用户Host A.Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信. 配置步骤 创建隔离组

安装PHPStudy2014,打开端口出现80端口 PID4 进程:System-windows服务器应用

原文:安装PHPStudy2014,打开端口出现80端口 PID4 进程:System-windows服务器应用-黑吧安全网 安装PHPStudy2014,打开端口出现80端口 PID4 进程:System后来发现原来是我本地电脑安装了SQL SERVER 2008R2占用了端口,把它Reporting Services停止后就正常了: