实验拓扑
- 实验要求:
1、设置ACL策略使PC1和PC2不能在同一vlan相互通信;
2、设置双向端口隔离使PC1和PC2不能在同一vlan相互通信;
3、设置单向端口隔离使PC1和PC2不能在同一vlan相互通信;
端口隔离—制定ACL策略
实验拓扑
| 参数 | 参数说明 | 取值 |
| number | 指定由数字标识的一个访问控制列表。 | — |
| acl-number | 指定访问控制列表的编号。 | 整数形式。 |
| match-order { auto config } | 指定ACL规则的匹配顺序。 | |
| all | 指定删除所有的ACL。 |
整数形式
- 2000~2999表示基本ACL范围。
- 3000~3999表示高级ACL范围。
- 4000~4999表示二层ACL范围。
- 5000~5999表示用户自定义ACL范围。
- 6000~9999表示用户ACL范围。
指定ACL规则的匹配顺序
auto: 匹配规则时系统自动排序(按“深度优先”的顺序)。 若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。
config:匹配规则时按用户的配置顺序。 指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。
配置S1参数
<S1>system-view Enter system view, return user view with Ctrl+Z. [S1]acl [S1]acl 3000 //制定ACL策略使PC1和PC2不同相互访问 [S1-acl-adv-3000]rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0 [S1-acl-adv-3000]dis thi # acl number 3000 rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0 # return [S1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //执行ACL策略使其相互不能访问。 [S1-GigabitEthernet0/0/1]dis thi # interface GigabitEthernet0/0/1 traffic-filter inbound acl 3000 # return
测试结果:
总结分析:
制定acl访问控制策略能够有效阻止用户进行相互通信,但如果遇到成百上千台的主机,设置ACL策略阻隔不同部门或部门内部之间的通信,这时,制定ACL策略就不是非常简单、方便、高效了。
端口隔离—双向隔离(PC1、PC2)
实验拓扑
端口隔离
安全策略
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。
配置方法
端口隔离包括双向隔离和单向隔离。缺省情况下,端口隔离模式是二层隔离三层互通,若需要配置二三层都隔离可以执行port-isolate mode all命令配置。若不执行此命令在同一vlan中开启三层vlan,并开启arp代理即可实现通信,即可实现通行。实验如下。
配置S1参数:
[S1]interface GigabitEthernet 0/0/1 [S1-GigabitEthernet0/0/1]port-isolate enable group 1 //进入端口开启端口隔离并加入到相同的组中。 [S1-GigabitEthernet0/0/1]dis thi # interface GigabitEthernet0/0/1 port-isolate enable group 1 # return [S1-GigabitEthernet0/0/1]quit [S1]interface GigabitEthernet 0/0/2 [S1-GigabitEthernet0/0/2]port-isolate enable ? group Port isolate group <cr> [S1-GigabitEthernet0/0/2]port-isolate enable group 1 /进入端口开启端口隔离并加入到相同的组中。 [S1-GigabitEthernet0/0/2]dis thi # interface GigabitEthernet0/0/2 port-isolate enable group 1 # return [S1-GigabitEthernet0/0/2]quit [S1]display port-isolate group all //查看是否成功加入组中 The ports in isolate group 1: GigabitEthernet0/0/1 GigabitEthernet0/0/2 [S1]
测试结果:
此时未执行port-isolate mode all命令。配置以下参数即可将上述配置的端口隔离依旧可以正常相互通信。
[S1]interface Vlanif 1 [S1-Vlanif1]ip address 1.0.0.254 8 [S1-Vlanif1]arp-proxy ? enable Enable proxy ARP(Address Resolve Protocol) inner-sub-vlan-proxy Proxy ARP within a VLAN inter-sub-vlan-proxy Proxy ARP between VLANs [S1-Vlanif1]arp-proxy inner-sub-vlan-proxy enable [S1-Vlanif1]dis thi # interface Vlanif1 ip address 1.0.0.254 255.0.0.0 arp-proxy inner-sub-vlan-proxy enable # return [S1-Vlanif1]
简析: 在交换机中开启并配置了三层IP地址,并开启了同一vlan内的arp代理功能,相当于在两台PC之间安放了一个“代理人”,即可相互通信。
解决办法: 执行port-isolate mode all命令,将三层进行隔离。
[S1]port-isolate ? mode Mode [S1]port-isolate mode ? all All l2 L2 only [S1]port-isolate mode all [S1]
再次测试结果
端口隔离—单向隔离(PC1、PC2)
实验拓扑
配置S1参数:
配置单向隔离 配置GE0/0/1和GE0/0/2单向隔离。 [S1]display current-configuration | include port-isolate port-isolate mode all [S1]interface GigabitEthernet 0/0/1 [S1-GigabitEthernet0/0/1]am isolate GigabitEthernet 0/0/2 [S1-GigabitEthernet0/0/1]dis thi # interface GigabitEthernet0/0/1 am isolate GigabitEthernet0/0/2 # return [S1-GigabitEthernet0/0/1]quit
测试结果
