vlan的端口隔离及端口优化——“道高一尺魔高一丈”(上)

简介: vlan的端口隔离及端口优化——“道高一尺魔高一丈”

实验拓扑

2020081011051829.png

  • 实验要求:
    1、设置ACL策略使PC1和PC2不能在同一vlan相互通信;
    2、设置双向端口隔离使PC1和PC2不能在同一vlan相互通信;
    3、设置单向端口隔离使PC1和PC2不能在同一vlan相互通信;


端口隔离—制定ACL策略

实验拓扑

2020081011051829.png


参数 参数说明 取值
number 指定由数字标识的一个访问控制列表。
acl-number 指定访问控制列表的编号。 整数形式。
match-order { auto config } 指定ACL规则的匹配顺序。
all 指定删除所有的ACL。

整数形式

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 5000~5999表示用户自定义ACL范围。
  • 6000~9999表示用户ACL范围。


指定ACL规则的匹配顺序


auto: 匹配规则时系统自动排序(按“深度优先”的顺序)。 若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。

config:匹配规则时按用户的配置顺序。 指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。

如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。

配置S1参数

<S1>system-view 
Enter system view, return user view with Ctrl+Z.
[S1]acl 
[S1]acl 3000  //制定ACL策略使PC1和PC2不同相互访问
[S1-acl-adv-3000]rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
[S1-acl-adv-3000]dis thi
#
acl number 3000
 rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
#
return
[S1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //执行ACL策略使其相互不能访问。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000
#
return


测试结果:

20200810132528150.png

总结分析:

制定acl访问控制策略能够有效阻止用户进行相互通信,但如果遇到成百上千台的主机,设置ACL策略阻隔不同部门或部门内部之间的通信,这时,制定ACL策略就不是非常简单、方便、高效了。


端口隔离—双向隔离(PC1、PC2)

实验拓扑

2020081011051829.png端口隔离

安全策略

为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。


配置方法

端口隔离包括双向隔离和单向隔离。缺省情况下,端口隔离模式是二层隔离三层互通,若需要配置二三层都隔离可以执行port-isolate mode all命令配置。若不执行此命令在同一vlan中开启三层vlan,并开启arp代理即可实现通信,即可实现通行。实验如下。


配置S1参数:

[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port-isolate enable group 1 //进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
 port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port-isolate enable ?
  group  Port isolate group
  <cr>   
[S1-GigabitEthernet0/0/2]port-isolate enable group 1 /进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/2]dis thi
#
interface GigabitEthernet0/0/2
 port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/2]quit
[S1]display port-isolate group all   //查看是否成功加入组中
  The ports in isolate group 1:
GigabitEthernet0/0/1     GigabitEthernet0/0/2     
[S1]


测试结果:

20200810133758348.png

20200810133832210.png此时未执行port-isolate mode all命令。配置以下参数即可将上述配置的端口隔离依旧可以正常相互通信。

[S1]interface Vlanif 1
[S1-Vlanif1]ip address 1.0.0.254 8
[S1-Vlanif1]arp-proxy ?
  enable                Enable proxy ARP(Address Resolve Protocol)
  inner-sub-vlan-proxy  Proxy ARP within a VLAN
  inter-sub-vlan-proxy  Proxy ARP between VLANs
[S1-Vlanif1]arp-proxy inner-sub-vlan-proxy enable 
[S1-Vlanif1]dis thi
#
interface Vlanif1
 ip address 1.0.0.254 255.0.0.0
 arp-proxy inner-sub-vlan-proxy enable
#
return
[S1-Vlanif1]


20200810135511950.png简析: 在交换机中开启并配置了三层IP地址,并开启了同一vlan内的arp代理功能,相当于在两台PC之间安放了一个“代理人”,即可相互通信。

解决办法: 执行port-isolate mode all命令,将三层进行隔离。

[S1]port-isolate ?
  mode  Mode
[S1]port-isolate mode ?
  all  All
  l2   L2 only
[S1]port-isolate mode all 
[S1]


再次测试结果2020081014020352.png

端口隔离—单向隔离(PC1、PC2)

实验拓扑

2020081011051829.png

配置S1参数:

配置单向隔离
配置GE0/0/1和GE0/0/2单向隔离。
[S1]display current-configuration | include port-isolate
port-isolate mode all
[S1]interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]am isolate GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
 am isolate GigabitEthernet0/0/2
#
return
[S1-GigabitEthernet0/0/1]quit

测试结果

20200810140919151.png

20200810140845949.png

相关文章
|
2月前
|
运维 监控 安全
|
2月前
|
存储 运维 安全
|
3月前
|
网络虚拟化
网络实验 VlAN 中 Trunk Access端口的说明及实验
本文介绍了VLAN技术及其在网络实验中的应用,包括Access端口和Trunk端口的工作原理,以及如何通过实验划分不同VLAN实现内部通信和跨交换机实现VLAN间通信的详细步骤和配置。
网络实验 VlAN 中 Trunk Access端口的说明及实验
|
4月前
|
网络虚拟化
主流品牌的交换机都是如何给端口划分VLAN的?
主流品牌的交换机都是如何给端口划分VLAN的?
|
网络虚拟化
vlan的端口隔离及端口优化——“道高一尺魔高一丈”(下)
vlan的端口隔离及端口优化——“道高一尺魔高一丈”(下)
122 0
|
数据处理 网络虚拟化 网络架构
VLAN端口类型详解——Huawei、Cisco
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
586 0
VLAN端口类型详解——Huawei、Cisco
|
5月前
|
弹性计算 应用服务中间件 Linux
阿里云服务器开放端口完整图文教程
笔者近期开发完成的服务端程序部署在阿里云的ECS云服务器上面,一些应用程序配置文件需要设置监听的端口(如Tomcat的8080、443端口等),虽然通过CentOs 7系统的的「防火墙」开放了对应的端口号,任然无法访问端口号对应的应用程序,后面了解到原来还需要设置云服务器的「安全组规则」,开放相应的端口权限,服务端的接口才能真正开放。
732 1
阿里云服务器开放端口完整图文教程
|
5月前
|
弹性计算 运维 数据安全/隐私保护
云服务器 ECS产品使用问题之如何更改服务器的IP地址或端口号
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
4月前
|
缓存 NoSQL 网络安全
【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题
【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题