碼上歡樂
相關內容    簡體    繁體

H3C交換機端口安全技術之端口隔離的應用

本文轉載自   查看原文   2017-04-11 18:03   3457    H3CSE進階之路

                   H3C交換機端口安全技術---端口隔離的應用

 

 

  相信大家所在公司都會有財務部門,普通員工和領導,網絡工程師在配置的時候為了安全考慮,會用一些硬件上自身支持的功能區做一些安全措施。為了方便說明需求,我特意畫了一張簡單拓撲圖,以方便我說明。如下圖:

   

需求如下:

    1>.VLAN10中的pc無法實現互相訪問;(端口隔離技術)

    2>.VLAN10中的pc均可以訪問共享服務器;(Trunk技術)

    3>.VLAN20中的所有pc可以互相訪問;(access與trunk技術)

此處試驗,我用的是華為交換機配置的,配置過程如下:

注意:我此處將"1樓弱點交換機"的設備名稱更改為“SW1”,將“2樓弱點交換機”的設備更改為“SW2”

 1樓弱點交換機配置如下:

 1 SW1配置詳解:
 2 [Huawei]sysname SW1   #更改設備名稱
 3 [SW1]interface GigabitEthernet 0/0/1   #進入接口配置模式
 4 [SW1-GigabitEthernet0/0/1]port link-type access   #將該接口鏈路類型配置成access模式
 5 [SW1-GigabitEthernet0/0/1]quit  #退出接口配置模式
 6 [SW1]interface GigabitEthernet 0/0/3
 7 [SW1-GigabitEthernet0/0/3]port link-type access 
 8 [SW1-GigabitEthernet0/0/3]quit
 9 [SW1]interface GigabitEthernet 0/0/7
10 [SW1-GigabitEthernet0/0/7]port link-type access 
11 [SW1-GigabitEthernet0/0/7]quit
12 [SW1]vlan 10    #創建一個VLAN其ID為10
13 [SW1-vlan10]description caiwu   #對VLAN10進行描述,以便告訴運維人員這個VLAN10是用來干嘛的
14 [SW1-vlan10]port GigabitEthernet 0/0/1  #將GigabitEthernet 0/0/1 和GigabitEthernet 0/0/3 兩個端口加入該VLAN之中。
15 [SW1-vlan10]port GigabitEthernet 0/0/3
16 [SW1]display vlan 10   #查看VLAN10的信息
17 [SW1]interface GigabitEthernet 0/0/2
18 [SW1-GigabitEthernet0/0/2]port link-type access 
19 [SW1-GigabitEthernet0/0/2]quit 
20 [SW1]interface GigabitEthernet 0/0/4
21 [SW1-GigabitEthernet0/0/4]port link-type access 
22 [SW1-GigabitEthernet0/0/4]quit
23 [SW1]vlan 20
24 [SW1-vlan20]description yuangong
25 [SW1-vlan20]port GigabitEthernet 0/0/2
26 [SW1-vlan20]port GigabitEthernet 0/0/4
27 [SW1-vlan20]quit 
28 [SW1]display vlan 20
29 [SW1]interface GigabitEthernet 0/0/10
30 [SW1-GigabitEthernet0/0/10]port link-type trunk   #配置鏈路模式為trunk模式
31 [SW1-GigabitEthernet0/0/10]port trunk allow-pass vlan all   #該trunk口允許所有的VLAN通過
32 [SW1-GigabitEthernet0/0/10]quit 
33 [SW1]display vlan 10 to 20  #顯示VLAN10 到20之間所有的VLAN信息,我們僅僅創建了2個VLAN,所以我們應該只能看到2個VLAN信息喲!
34 --------------------------------------------------------------------------------
35 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
36 MP: Vlan-mapping;               ST: Vlan-stacking;
37 #: ProtocolTransparent-vlan;    *: Management-vlan;
38 --------------------------------------------------------------------------------
39 
40 VID  Type    Ports                
41 --------------------------------------------------------------------------------
42 10   common  UT:GE0/0/1(U)      GE0/0/3(U)      GE0/0/7(U)                      
43              TG:GE0/0/10(U)           
44 20   common  UT:GE0/0/2(U)      GE0/0/4(U)                                      
45              TG:GE0/0/10(U)           
46 
47 VID  Status  Property      MAC-LRN Statistics Description      
48 --------------------------------------------------------------------------------
49 10   enable  default       enable  disable    caiwu                             
50 20   enable  default       enable  disable    yuangong                          
51 [SW1]
52 [SW1]interface GigabitEthernet 0/0/7  
53 [SW1-GigabitEthernet0/0/7]port-isolate enable  #啟用端口隔離功能,注意的是,只有開啟該功能的的端口不能互相訪問,換句話說就是,在同一個VLAN中如果有一個端口沒有開啟該服務,還是可以訪問這個端口的IP喲,如果你講那個能訪問的端口也啟用該功能的那就不能互相訪問啦!
54 [SW1-GigabitEthernet0/0/7]quit 
55 [SW1]interface GigabitEthernet 0/0/1
56 [SW1-GigabitEthernet0/0/1]port-isolate enable 
57 [SW1-GigabitEthernet0/0/1]quit 
58 [SW1]interface GigabitEthernet 0/0/3
59 [SW1-GigabitEthernet0/0/3]port-isolate enable 
60 [SW1-GigabitEthernet0/0/3]quit

 

2樓弱點交換機配置如下:

 1 SW2配置詳解:
 2 [Huawei]sysname SW2
 3 [SW2]interface Ethernet 0/0/5
 4 [SW2-Ethernet0/0/5]port link-type access 
 5 [SW2-Ethernet0/0/5]quit 
 6 [SW2]interface Ethernet 0/0/6
 7 [SW2-Ethernet0/0/6]port link-type access 
 8 [SW2-Ethernet0/0/6]quit    
 9 [SW2]vlan 10
10 [SW2-vlan10]description caiwu
11 [SW2-vlan10]port Ethernet 0/0/5
12 [SW2-vlan10]quit
13 [SW2]vlan 20
14 [SW2-vlan20]description yuangong
15 [SW2-vlan20]port Ethernet 0/0/6
16 [SW2-vlan20]quit 
17 [SW2]interface Ethernet 0/0/10
18 [SW2-Ethernet0/0/10]port link-type trunk 
19 [SW2-Ethernet0/0/10]port trunk allow-pass vlan all
20 [SW2-Ethernet0/0/10]quit
21 [SW2]display vlan 10 to 20
22 --------------------------------------------------------------------------------
23 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
24 MP: Vlan-mapping;               ST: Vlan-stacking;
25 #: ProtocolTransparent-vlan;    *: Management-vlan;
26 --------------------------------------------------------------------------------
27 
28 VID  Type    Ports                
29 --------------------------------------------------------------------------------
30 10   common  UT:Eth0/0/5(U)           
31 20   common  UT:Eth0/0/6(U)           
32 
33 VID  Status  Property      MAC-LRN Statistics Description      
34 --------------------------------------------------------------------------------
35 10   enable  default       enable  disable    caiwu                             
36 20   enable  default       enable  disable    yuangong                          
37 [SW2]

 

測試結果如下:

“總經理電腦”測試結果如下:

 1 PC>ping 192.168.10.3
 2 
 3 Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break
 4 From 192.168.10.1: Destination host unreachable
 5 From 192.168.10.1: Destination host unreachable
 6 From 192.168.10.1: Destination host unreachable
 7 From 192.168.10.1: Destination host unreachable
 8 From 192.168.10.1: Destination host unreachable
 9 
10 PC>ping 192.168.10.7
11 
12 Ping 192.168.10.7: 32 data bytes, Press Ctrl_C to break
13 From 192.168.10.1: Destination host unreachable
14 From 192.168.10.1: Destination host unreachable
15 From 192.168.10.1: Destination host unreachable
16 From 192.168.10.1: Destination host unreachable
17 From 192.168.10.1: Destination host unreachable
18 
19 PC>ping 192.168.10.5
20 
21 Ping 192.168.10.5: 32 data bytes, Press Ctrl_C to break
22 From 192.168.10.5: bytes=32 seq=1 ttl=128 time=31 ms
23 From 192.168.10.5: bytes=32 seq=2 ttl=128 time=16 ms
24 From 192.168.10.5: bytes=32 seq=3 ttl=128 time=32 ms
25 From 192.168.10.5: bytes=32 seq=4 ttl=128 time=31 ms
26 From 192.168.10.5: bytes=32 seq=5 ttl=128 time=62 ms
27 
28 --- 192.168.10.5 ping statistics ---
29   5 packet(s) transmitted
30   5 packet(s) received
31   0.00% packet loss
32   round-trip min/avg/max = 16/34/62 ms
33 
34 PC>

 

“普通員工電腦_2”測試結果如下:

  1 PC>ping 192.168.20.4
  2 
  3 Ping 192.168.20.4: 32 data bytes, Press Ctrl_C to break
  4 From 192.168.20.4: bytes=32 seq=1 ttl=128 time=31 ms
  5 
  6 --- 192.168.20.4 ping statistics ---
  7   1 packet(s) transmitted
  8   1 packet(s) received
  9   0.00% packet loss
 10   round-trip min/avg/max = 31/31/31 ms
 11 
 12 PC>ping 192.168.20.2
 13 
 14 Ping 192.168.20.2: 32 data bytes, Press Ctrl_C to break
 15 From 192.168.20.2: bytes=32 seq=1 ttl=128 time<1 ms
 16 
 17 --- 192.168.20.2 ping statistics ---
 18   1 packet(s) transmitted
 19   1 packet(s) received
 20   0.00% packet loss
 21   round-trip min/avg/max = 0/0/0 ms
 22 
 23 PC>ping 192.168.20.6
 24 
 25 Ping 192.168.20.6: 32 data bytes, Press Ctrl_C to break
 26 From 192.168.20.6: bytes=32 seq=1 ttl=128 time=46 ms
 27 
 28 --- 192.168.20.6 ping statistics ---
 29   1 packet(s) transmitted
 30   1 packet(s) received
 31   0.00% packet loss
 32   round-trip min/avg/max = 46/46/46 ms
 33 
 34 PC>ipconfig
 35 
 36 Link local IPv6 address...........: fe80::5689:98ff:fecf:488
 37 IPv6 address......................: :: / 128
 38 IPv6 gateway......................: ::
 39 IPv4 address......................: 192.168.20.2
 40 Subnet mask.......................: 255.255.255.0
 41 Gateway...........................: 0.0.0.0
 42 Physical address..................: 54-89-98-CF-04-88
 43 DNS server........................:
 44 PC>

 

 

 

H3C配置注意事項:

配置端口隔離部分:

需要在放行的端口配置:
[SW2-Ethernet0/0/5]port-isolate uplink-port
在不放行的端口配置:
[SW1-GigabitEthernet0/0/1]port-isolate enable


配置trunk部分:
[SW2-Ethernet0/0/10]port link-type trunk
[SW2-Ethernet0/0/10]port trunk permit vlan all

 

下面讓我們一起看一下H3C配置過程:

交換機端口安全技術

【實驗目的】

l  掌握802.1X的基本配置

l  掌握端口隔離的基本配置

l  掌握端口綁定技術基本配置

【實驗要求】

根據要求為交換機配置相應的端口安全技術

【實驗設備】

交換機一台、PC機兩台、網線兩根、console線

【實驗拓撲】

 

 

【實驗過程】

一、配置802.1X

1、IP地址規划

設備名稱

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

 

 

 

 

 

2、實驗之前先測試網絡的連通性

3、在交換機上啟用802.1X協議並創建本地用戶

[SW1]dot1x

[SW1]dot1x interface e0/4/0 e0/4/1

[SW1]local-user h3cne

[SW1-luser-h3cne]service-type lan-access

[SW1-luser-h3cne]password simple h3cse

[SW1-luser-h3cne]qu

[SW1]

4、驗證 配置完成后,再檢查一下網絡的連通性,測試結果應該是不通的。

二、配置端口隔離

1、IP地址規划

設備名稱

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

 

2、在交換機上啟用端口隔離,設置端口E0/4/0和E0/4/1為隔離組成員,端口E0/4/7為隔離組的上行端口

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]port-isolate enable

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]port-isolate enable

[SW1-Ethernet0/4/1]qu

[SW1]interface e0/4/7

[SW1-Ethernet0/4/7]port-isolate uplink-port

[SW1-Ethernet0/4/7]qu

[SW1]

3、顯示隔離組信息

 

4、測試網絡的連通性,結果應該是不通的。

三、配置端口綁定

1、IP地址規划

設備名稱

IP地址

PC1

192.168.1.1

PC2

192.168.1.2

 

2、在交換機上啟用端口綁定,設置端口e/4/0與PC1的MAC地址綁定,端口e/4/1與PC2的MAC地址綁定。

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]user-bind  ip-addr 192.168.1.1 mac-address 0010-233D-5695

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]user-bind  ip-addr 192.168.1.2 mac-address 0013-728E-4751

[SW1-Ethernet0/4/1]qu

3、測試網絡的連通性,測試結果應該是不通

【思考拓展】

在實驗一 配置802.1X中,使用交換機內置的本地服務器對用戶進行了本地認證。可不可以不再交換機上配置用戶名、密碼等信息,而對用戶進行認證?

根據隔離組信息可以看出E/4/0和e/4/1在隔離組中,E0/4/7為上行端口

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 詳解H3C交換機“端口安全”功能 H3C交換機端口聚合配置 H3C交換機配置鏡像端口 H3C交換機批量端口配置 H3C交換機聚合端口狀態掃描 H3C交換機端口聚合 H3C交換機端口鏈路聚合 H3c交換機配置端口鏡像詳情 H3C交換機刪除VLAN與其綁定端口配置 [筆記]H3C交換機 COMBO端口切換運維筆記
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM