本系列通過(guò)介紹常見(jiàn)的以太網(wǎng)交換安全技術(shù),包括端口隔離、端口安全、mac地址漂移檢測(cè)、風(fēng)暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常見(jiàn)技術(shù),以提高對(duì)以太網(wǎng)交換安全的理解和認(rèn)識(shí)。
端口隔離技術(shù)背景
-
以太交換網(wǎng)絡(luò)中為了實(shí)現(xiàn)報(bào)文之間的二層隔離,用戶通常將不同的端口加入不同的VLAN,實(shí)現(xiàn)二層廣播域的隔離。 -
大型網(wǎng)絡(luò)中,業(yè)務(wù)需求種類(lèi)繁多,只通過(guò)VLAN實(shí)現(xiàn)報(bào)文二層隔離,會(huì)浪費(fèi)有限的VLAN資源。
如下圖所示,由于某種業(yè)務(wù)需求,PC1與PC2雖然屬于同一個(gè)VLAN ,但是要求它們?cè)诙硬荒芑ネǎǖ试S三層互通),PC1與PC3在任何情況下都不能互通,但是VLAN 3里的主機(jī)可以訪問(wèn)VLAN 2里的主機(jī)。 那么該如何解決這個(gè)問(wèn)題呢?
端口隔離技術(shù)概述
采用端口隔離功能,可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。
端口隔離技術(shù)原理
-
雙向隔離
同一端口隔離組的接口之間互相隔離,不同端口隔離組的接口之間不隔離。端口隔離只是針對(duì)同一設(shè)備上的端口隔離組成員,對(duì)于不同設(shè)備上的接口而言,無(wú)法實(shí)現(xiàn)該功能。
-
單向隔離
為了實(shí)現(xiàn)不同端口隔離組的接口之間的隔離,可以通過(guò)配置接口之間的單向隔離來(lái)實(shí)現(xiàn)。缺省情況下,未配置端口單向隔離。
-
L2(二層隔離三層互通)
隔離同一VLAN內(nèi)的廣播報(bào)文,但是不同端口下的用戶還可以進(jìn)行三層通信。缺省情況下,端口隔離模式為二層隔離三層互通。
-
ALL(二層三層都隔離)
同一VLAN的不同端口下用戶二三層徹底隔離無(wú)法通信。
?采用二層隔離三層互通的隔離模式時(shí),在VLANIF接口上使能VLAN內(nèi)Proxy ARP功能,配置
”arp-proxy inner-sub-vlan-proxy enable,可以實(shí)現(xiàn)同一VLAN內(nèi)主機(jī)通信。
端口隔離配置命令
-
使能端口隔離功能
[Huawei-GigabitEthe.NET0/0/1] port-isolate enable [ group group-id ]
?缺省情況下,未使能端口隔離功能。如果不指定group-id參數(shù)時(shí),默認(rèn)加入的端口隔離組為1。
”
-
(可選)配置端口隔離模式
Huawei] port-isolate mode { l2 | all }
?缺省情況下,端口隔離模式為L(zhǎng)2。
”
L2 端口隔離模式為二層隔離三層互通。 all 端口隔離模式為二層三層都隔離
-
配置端口單向隔離
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
?am isolate命令用來(lái)配置當(dāng)前接口與指定接口的單向隔離。在接口A上配置與接口B之間單向隔離后,接口A發(fā)送的報(bào)文不能到達(dá)接口B,但從接口B發(fā)送的報(bào)文可以到達(dá)接口A。缺省情況下,未配置端口單向隔離。
”
端口隔離配置舉例
?如圖所示:PC1、PC2和PC3屬于VLAN 2,通過(guò)配置端口隔離,使PC3可以與PC1、PC2通信,但是PC1和PC2之間無(wú)法通信。
”
Switch配置如下:
[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2
?”
display port-isolate group { group-id | all },查看端口隔離組的配置。clear configuration port-isolate命令一鍵式清除設(shè)備上所有的端口隔離配置。port-isolate exclude vlan命令配置端口隔離功能生效時(shí)排除的VLAN。
端口隔離配置驗(yàn)證
-
通過(guò) display port-isolate group group-number查看端口隔離組中的端口
[SW]display port-isolate group 2
The ports in isolate group 2:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
-
驗(yàn)證同一端口隔離組下主機(jī)網(wǎng)絡(luò)不能互通。
PC1>ping 10.1.1.2
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
