H3C-端口隔离操作
端口隔离目录
目录
第1章端口隔离配置..............................................................................................................1-1
1.1 端口隔离概述.....................................................................................................................1-1
1.2 端口隔离配置.....................................................................................................................1-1
1.3 端口隔离配置显示..............................................................................................................1-2
1.4 端口隔离配置举例..............................................................................................................1-2
第1章端口隔离配置
1.1 端口隔离概述
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔
离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供
了灵活的组网方案。
目前一台设备只支持建立一个隔离组,组内的以太网端口数量没有限制。
说明:
z配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。
z端口隔离特性与以太网端口所属的VLAN无关。
1.2 端口隔离配置
通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二
层、三层数据的隔离。
表1-1端口隔离配置
操作命令说明
进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number
-
将以太网端口加入到隔离组中port isolate
必选
缺省情况下,隔离组中没有加入
任何以太网端口
说明:
z当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。
z对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
z如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。
z当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
1.3 端口隔离配置显示
完成上述配置后,在任意视图下执行display命令,可以显示配置端口隔离后的运
行情况。通过查看显示信息,用户可以验证配置的效果。
表1-2端口隔离配置显示
操作命令说明
显示已经加入到隔离组中的以太网端口信息 display isolate port
display命令可以在任意视图
下执行
1.4 端口隔离配置举例
1. 组网需求
z小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连
z交换机通过Ethernet1/0/1端口与外部网络相连
z小区用户PC2、PC3和PC4之间两两不能互通
2. 组网图
图1-1端口隔离配置组网示例图
3. 配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
System View: return to User View with Ctrl+Z.
[H3C] interface ethernet1/0/2
[H3C-Ethernet1/0/2] port isolate
[H3C-Ethernet1/0/2] quit
[H3C] interface ethernet1/0/3
[H3C-Ethernet1/0/3] port isolate
[H3C-Ethernet1/0/3] quit
[H3C] interface ethernet1/0/4
[H3C-Ethernet1/0/4] port isolate
[H3C-Ethernet1/0/4] quit
[H3C] quit
# 显示隔离组中的端口信息。
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
链路聚合与端口隔离命令
第1章链路聚合配置命令 1.1 链路聚合配置命令 1.1.1 display lacp system-id 【命令】 display lacp system-id 【视图】 任意视图 【参数】 无 【描述】 display lacp system-id命令用来显示本端系统的设备ID,包括:系统的LACP协 议优先级与系统MAC地址。 【举例】 # 显示本端系统的设备ID。
to:用来连接两个端口,表示在两个端口之间的所有端口(包含这两个端口)。【描述】 display link-aggregation interface命令用来显示指定端口的链路聚合的详细信 息,其中包括: ●指定端口所在聚合组ID; ●本端的端口的LACP协议优先级、操作Key、LACP协议状态标志; ●对端的设备ID、端口号、端口的LACP协议优先级、操作Key、LACP协议状 态标志; ●LACP协议报文统计信息。 需要注意的是,由于手工聚合组无法获知对端信息,因此对端的各项显示信息均为 0,并不代表对方系统实际信息。此外,对于手工聚合不会显示端口的LACP协议报 文统计信息。 【举例】 # 显示手工聚合组中端口Ethernet1/0/1聚合的详细信息。
cisco 端口隔离 pvlan
在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan 至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信,实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为second vlan。
端口隔离介绍
端口隔离 为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 目前: z集中式设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。 z分布式设备支持多个隔离组,用户可以手工配置。不同设备支持的隔离组数,请以设备实际情况为准。 z隔离组内可以加入的端口数量没有限制。 说明: z如果聚合组内的某个端口已经配置成某隔离组的普通端口,则该聚合组内的其他端口可以以普通端口的身份加入该隔离组,但不能配置成上行端口。 z如果将聚合组内的某个端口配置成某隔离组的上行端口,则该聚合组内的其他端口不能加入该隔离组,且不允许该设备的其他端口加入该聚合组。(聚合组的具体内容请参见“接入分册”中的“链路聚合配置”) 端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内、外端口的二层数据互通的情况,又可以分为以下两种: z支持上行端口的设备,各种类型端口之间二层报文的互通情况如图1所示。 z不支持上行端口的集中式设备,隔离组内的端口和隔离组外端口二层流量双向互通。分布式设备不存在不支持上行端口的情况。
图1支持上行端口的设备同一VLAN内隔离组内、外端口二层报文互通情况 说明: 图中箭头方向表示报文的发送方向。
H3C-端口隔离操作
端口隔离目录 目录 第1章端口隔离配置..............................................................................................................1-1 1.1 端口隔离概述.....................................................................................................................1-1 1.2 端口隔离配置.....................................................................................................................1-1 1.3 端口隔离配置显示..............................................................................................................1-2 1.4 端口隔离配置举例..............................................................................................................1-2
第1章端口隔离配置 1.1 端口隔离概述 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔 离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供 了灵活的组网方案。 目前一台设备只支持建立一个隔离组,组内的以太网端口数量没有限制。 说明: z配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。 z端口隔离特性与以太网端口所属的VLAN无关。 1.2 端口隔离配置 通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二 层、三层数据的隔离。 表1-1端口隔离配置 操作命令说明 进入系统视图system-view - 进入以太网端口视图interface interface-type interface-number - 将以太网端口加入到隔离组中port isolate 必选 缺省情况下,隔离组中没有加入 任何以太网端口
cisco交换机端口隔离的实现方法
现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary
交换机端口隔离
实验一 实验名称:交换机端口隔离(Port Vlan)。 实验目的:理解Port Vlan的配置。 技术原理:在交换机组成的网络里所有主机都在同一个广播域内,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN (Virtual Local Area Network),是在一个物理网络上划分出来的逻辑网络,这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,即通过VLAN的划分,不同VLAN间不能够直接访问。一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口,这时MAC地址表多了一项VLAN信息。 实现功能:通过划分Port Vlan实现本交换机端口隔离。 实验设备:S2126G一台,主机四台,直连网线四根。 实验拓朴:
实验步骤:1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports
cisco路由器交换机端口隔离的配置方法
H3C交换机端口隔离配置案例 端口隔离, H3C 一组网需求: 1.将PC1与PC2进行隔离,PC1与PC2不能进行二层及三层访问;2.PC1与PC3,PC2与PC3能互相访问。 二组网图: 下载(40.93 KB) 2010-9-25 18:34 三配置步骤: 1.进入系统模式
5.将端口E1/0/2加入隔离组 [H3C-Ethernet1/0/2] port isolate 四配置关键点: 1.同一交换机中只支持一个隔离组,组内端口数不限; 2.端口隔离特性与以太网端口所属的VLAN无关; 3.经过以上配置后,可以完成隔离组内PC间二层及三层的隔离,而隔离组与隔离组外的PC不隔离,即PC1与PC2相互隔离,而PC1与PC3不隔离,PC2与PC3不隔离; 4.执行port isolate或undo port isolate命令后,在本地设备中,与当前端口位于同一汇聚组中的其他端口,会同时加入或离开隔离组; 5.此案例适用于H3C S3600、S5600、S3100、S5100、S5500、S3610,以及Quidway S3900、S5600、S2000、S3100、S5000、S5100系列交换机。 来源: 中国系统集成论坛原文链接:https://www.360docs.net/doc/0d14497041.html,/thread-162445-1-8.html
交换机端口安全之——端口地址绑定和端口隔离
交换机端口安全之——端口地址绑定和端口隔离 【实验目的】 1、掌握交换机静态端口绑定、动态端口绑定的原理和配置方法,并灵活运用。 2、了解交换机端口隔离在网络安全中所起作用,掌握其配置方法。 3、掌握端口隔离和VLAN划分的区别。 【实验环境】 H3C二层交换机S3100-16TP-EI、S3100-16C-SI,PC机3台,标准网线若干。 【引入案例1】 办公室主任的电脑配置在一个特定的地址段中,公司对该地址段开放了特殊的上网权限。有一天,主任的电脑上弹出了“IP地址冲突”的对话框。有员工盗用了他的IP上网浏览。 【案例分析】 当网络的布置很随意,并且没有任何安全设置的时候,用户只要插上网线,在任何地方都能够上网,这虽然使正常情况下的大多数用户很方便很满意,却很容易出现案例1中用户盗用IP的现象。 解决上述问题的一个较好的办法是将用户主机和接入交换机的端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常访问网络。通过绑定技术,建立起“用户主机-交换机端口”的对应关系,在安全管理上起着至关重要的作用。 【基本原理】 网卡的MAC地址的唯一性确定了MAC地址在网络中代表着计算机身份证的作用。为了安全和方便管理,网络管理员将对用户计算机的MAC地址进行登记,并将MAC地址与接入交换机的端口进行绑定。MAC地址与交换机端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常上网。 MAC地址和交换机端口绑定后,该交换机端口仍然可以允许其他MAC 地址的数据流通过。实际上,一些工具软件和病毒很容易伪造计算机的MAC
交换机端口隔离及端口安全
实验二 交换机端口隔离及端口安全 背景描述: 假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备:每一实验小组提供如下实验设备 1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5) 2、 实验机柜设备: S2126(或者S3550)交换机一台 3、 实验工具及附件:网线测试仪一台 跳线若干 四、实验原理及要求: 1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求: 1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留:是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录: 1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。 实验结果记录:要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1)、启用“本地连接”网卡,正确设置IP 地址及默认网关,打开设备配置界面,完成以下命令行操作: S2126(S3550) F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20
烽火交换机端口隔离配置方法
烽火交换机端口隔离配置方法 随着各个WLAN站点POE交换机下联的AP逐渐增多,为防止网络中的广播风暴对交换机的正常运行速度造成影响,建议对下联AP较多的交换机做一下端口隔离,这样可以有效防止由于广播风暴导致的交换机运行速度太慢甚至将交换机冲死的问题。具体配置方法如下: 对于CONSOLE口在左边的烽火交换机的配置方法为: 使用串口线连接交换机,然后使用超级终端(还原默认设置)进入命令行模式: Switch>enable Switch#config Switch_config#interface range 2,3,4,6,8-12(假设其中2,3,4,6,8,9,10,11,12端口为设备下联端口,上联端口为1号口,端口要根据具体情况而定。注意:上联口一定不要加入,否则将导致无法上网) Switch_config_if_range#switchport protected(开启上述端口的端口隔离) Switch_config_if_range#quit Switch_config#quit Switch#write(保存配置) 对于CONSOLE口在右边的烽火交换机的配置方法为: 使用网线连接交换机右边CON口下面的ETH端口,此端口为带外网管口,默认ip地址为192.168.2.1,将笔记本网口ip地址设置为192.168.2.2 255.255.255.0,关闭防火墙,保证笔记本网口可以ping通ETH端口地址192.168.2.1。然后在开始菜单中点击运行,输入cmd,进入命令行,输入如下命令,telnet 192.168.2.1,进入交换机配置界面: Username:admin Password:12345 S2200>enable S2200#config S2200(config)#pvlan 1 S2200(config-pvlan 1)#isolate-ports 2,3,5,6,8-12(将连接AP的交换机端口加入Pvlan1即可,注意:上联端口不要加入此pvlan,否则无法正常上网) S2200(config-pvlan 1)#quit S2200(config)#quit S2200#write file 输入y,保存配置。
华为MA5620E取消端口隔离
华为MA5620E取消端口隔离 华为MA5620E默认登陆用户名为:root,密码为:mduadmin。 先查看下端口是否被隔离或哪几个端口被隔离: MA5620E>enable MA5620E#display isolate all Port isolate config: ----------------------------- F/ S/ P ISOLATE ----------------------------- 0/ 1/ 1 disable ………… 0/ 1/24 disable ----------------------------- 端口的隔离状态: disable 已禁用隔离功能 enable 已启用隔离功能 依次取消每一个端口的隔离功能: MA5620E#config MA5620E(config)#undo isolate port 0/1/1 It will take several minutes, and console may be timeout, please use command idle-timeout to set time limit Are you sure to continue? (y/n)[n]:y ………… MA5620E(config)#undo isolate port 0/1/24 It will take several minutes, and console may be timeout, please use command idle-timeout to set time limit Are you sure to continue? (y/n)[n]:y
H3C S5500-SI 03-端口隔离配置
目录 1 端口隔离配置.....................................................................................................................................1-1 1.1 端口隔离简介.....................................................................................................................................1-1 1.2 配置单隔离组.....................................................................................................................................1-1 1.2.1 将端口加入隔离组...................................................................................................................1-1 1.3 隔离组显示和维护.............................................................................................................................1-1 1.4 端口隔离典型配置举例......................................................................................................................1-2
解读端口隔离
摘要端口隔离技术在ISP宽带接入中已发挥重要作用,而在园区网中应用还不多,由于网络中病毒增多、危害加大,端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况,端口隔离技术在不同厂商、不同层次交换机上不同的实现,具体分析和举例端口隔离技术在园区网中的规划、实施和应用。 关键词端口隔离;交换机 1 引言 在小区宽带接入环境中,个别计算机中毒发包、广播对其它接入计算机都有影响,也会占用带宽,所以ISP在其接入交换机上早就实施了端口隔离技术,隔离技术对网络静化、安全和病毒隔离都有相当良好的作用,应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离,会对一些应用带来不便,所以应用并不是很多。但是随着网络中病毒增多、危害加大,新的难以对付、传播速度又快病毒出现的情况下,端口隔离技术在园区网中应用会越来越多,下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。 2 端口隔离技术综述 端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果明显。 3 端口隔离技术的实现 3.1 端口隔离技术在H3C交换机上的实现 system-view 进入系统视图 interface interface-type interface-number 进入以太网端口视图 port isolate 将以太网端口加入到隔离组中 端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。 3.2 端口隔离技术在D-LINK交换机上的实现 config traffic_segmentation [
锐捷交换机端口隔离实验
【实验名称】 交换机端口隔离。 【实验目的】 理解Port Vlan的配置。 【背景描述】 假设此交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/5口;住户PC2连接在交换机的0/15口。现要实现各家各户的端口隔离。 【技术原理】 VLAN(Virtual Local Area Network,虚拟局域网)是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。VLAN最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以互相直接访问,不同VLAN间的主机之间互相访问必须经由路由设备进行转发。广播数据包只可以在本VLAN 内进行传播,不能传输到其他VLAN中。 Port Vlan是实现VLAN的方式之一,Port Vlan是利用交换机的端口进行VLAN的划分,一个端口只能属于一个VLAN。 【实现功能】 通过划分PORT VLAN实现本交换端口隔离。 【实验设备】 S2126G(1台)、PC机(两台)、直连线(2条) 实验时,按照拓扑图进行网络的连接,注意主机和交换机连接的端口。 【注意事项】 1、交换机所有的端口在默认情况下属于ACCESS端口,可直接将端口加入某一VLAN。利用switchport mode access/trunk命令可以更改端口的VLAN模式。 2、VLAN1属于系统的默认VLAN,不可以被删除 3、删除某个VLAN,使用no命令。例如:switch(config)#no vlan 10 4、删除当前某个VLAN时,注意先将属于该VLAN的端口加入别的VLAN,再删除VLAN。【参考配置】 switch#show running-config Building configuration... Current configuration : 162 bytes ! version 1.0 ! hostname Switch interface fastEthernet 0/5 switchport access vlan 10 !
项目二:交换机的端口隔离
项目二:交换机的端口隔离 任务1 单交换机上划分VLAN 一、工作目的:学会VLAN的建立与划分 二、工作情景:假设此交换机是某宽带小区中的1台楼道交换机,住户PC1 连接在交换 机的0/2口,住户PC2连在交换机的0/4口,住户PC2连在交换机的0/10口,现要求实现各家用户的端口隔离。 三、技术知识: 四、工作过程 1)Boson软件实现 实验拓扑图: 四、实验步骤: 1、PC机配置: Pc1 : C:>ipconfig /ip 192.168.0.1 255.255.255.0 Fa0/10 Fa0/2 Fa0/4 直连线
Pc2 : C:>ipconfig /ip 192.168.0.2 255.255.255.0 Pc3 : C:>ipconfig /ip 192.168.0.3 255.255.255.0
2、交换机配置: 用户模式:Switch>en 进入特权模式:Switch#confter Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 进入全局配置模式:Switch(config)#exit 在特权模式下,进入Vlan配置模式:Switch#vlan database 创建vlan 2:Switch(vlan)# vlan 2 /*创建vlan2 VLAN 2 added: Name:VLAN0002 创建vlan 3:Switch(vlan)#vlan 3 /*创建vlan3 VLAN 3 added: Name:VLAN0003 Switch(vlan)#exit Switch#con t 进入端口配置模式:Switch(config)#interface fa0/2 Switch(config-if)#switchport access vlan 2 /*把端口2加入vlan2 Switch(config-if)#interface fa0/4 Switch(config-if)#switchport access vlan 2 /*把端口4加入vlan2 Switch(config-if)#interface fa0/10 Switch(config-if)#switchport access vlan 3 /*把端口10加入vlan3 Switch(config-if)#end 查看vlan:Switch #show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/3, Fa0/5, Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/11 Fa0/12 2 VLAN0002 active Fa0/2, Fa0/4 3 VLAN0003 active Fa0/10 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 2 enet 100002 1500 - - - - - 0 0 3 enet 100003 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0
三层交换机上做端口隔离
三层交换机上做端口隔离 2011-10-28 11:15:01| 分类:默认分类| 标签:|字号大中小订阅 在不支持端口保护(switchport protect)的三层交换机上,要想达到端口隔离的效果。 问题及要求如图。 解决思路是利用vlan。 问题是在三层交换机上,vlan之间是可以通过三层转发的。所以要设置ACL进行控制。 每个端口划分一个vlan,分别是Vlan101、Vlan102、Vlan103.......Vlan124 A1接到三层交换的F0/1,划分vlan101,A2接到三层交换的F0/2,划分vlan102...... 在每个vlan启用虚拟接口,分配相应地址,并增加access-group。 如: interface Vlan101 ip address 192.168.1.254 255.255.255.0 ip access-group 101 in 相应的access-list为: access-list 101 permit ip host 192.168.1.3 host 192.168.19.1 ;允许访问RCM1 access-list 101 permit ip host 192.168.1.3 host 192.168.24.200 ;允许访问Server
access-list 101 deny ip host 192.168.1.3 any ;拒绝访问其它这样,接在这个端口的主机A1,便不能与其它主机通讯。达到了端口隔离的目的。 注意:1.没有实测过是否影响影响交换性能。 2.端口F0/1如果级联下层交换机,对性能方面会有什么影响? 附:完整running-config Switch#sh run Building configuration... Current configuration : 4581 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch ! ! interface FastEthernet0/1 switchport access vlan 101 ! interface FastEthernet0/2 switchport access vlan 102 ! interface FastEthernet0/3 switchport access vlan 103 ! interface FastEthernet0/4 switchport access vlan 104
解读端口隔离
解读端口隔离 Prepared on 22 November 2020
摘要端口隔离技术在ISP宽带接入中已发挥重要作用,而在园区网中应用还不多,由于网络中病毒增多、危害加大,端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况,端口隔离技术在不同厂商、不同层次交换机上不同的实现,具体分析和举例端口隔离技术在园区网中的规划、实施和应用。 关键词端口隔离;交换机 1 引言 在小区宽带接入环境中,个别计算机中毒发包、广播对其它接入计算机都有影响,也会占用带宽,所以ISP在其接入交换机上早就实施了端口隔离技术,隔离技术对网络静化、安全和病毒隔离都有相当良好的作用,应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离,会对一些应用带来不便,所以应用并不是很多。但是随着网络中病毒增多、危害加大,新的难以对付、传播速度又快病毒出现的情况下,端口隔离技术在园区网中应用会越来越多,下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO 不同厂商交换机上的实现和举例说明在园区网中的应用。 2 端口隔离技术综述 端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果明显。 3 端口隔离技术的实现 端口隔离技术在H3C交换机上的实现 system-view 进入系统视图 interface interface-type interface-number 进入以太网端口视图 port isolate 将以太网端口加入到隔离组中 端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。 端口隔离技术在D-LINK交换机上的实现 config traffic_segmentation [