实现端口安全的几种机制

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway] am enable

　　[Quidway] interface ethernet1/0/2

　　[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3

　　[Quidway-Ethernet1/0/2] quit

　　# 由于在ethernet1/0/2已经指明要隔离的端口是ethernet1/0/3，所以无需在端口ethernet1/0/3重复指明其隔离端口是ethernet1/0/2，ethernet1/0/3端口将会自动将端口ethernet1/0/2视为隔离端口

　　在三层交换机上不仅可以实现与二层交换机上相类似的端口隔离的功能还能实现端口与IP地址的绑定。端口和ip绑定，要求数据流量必须通过三层设备，如vlan间通信的时候就可以用到这项技术，但是如果数据流量没有通过三层设备，如vlan内部的通信，端口和ip绑定是没有意义的

　　例：(华为 S3526)

　　1. 组网需求

　　vlan20的网关为交换机的Ethernet1/0/2端口

　　vlan30的网关为交换机的Ethernet1/0/3端口

　　交换机通过Ethernet1/0/1端口与外部网络相连

　　vlan20内的主机只允许IP地址为192.168.20.10的主机通过Ethernet1/0/2端口与外部通信

2. 组网图

　　3. 配置步骤

　　# 修改端口类型

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway]interface Ethernet 1/0/2

　　[Quidway-Ethernet1/0/2]port link-type access

　　[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

　　[Quidway-Ethernet3/0/3]port link-type access

　　[Quidway-Ethernet3/0/3]quit

　　# 创建svi端口

　　[Quidway]vlan 20

　　[Quidway-vlan20]port Ethernet 1/0/2

　　[Quidway-vlan20]vlan 30

　　[Quidway-vlan30]port Ethernet 1/0/3

　　[Quidway-vlan30]quit

　　[Quidway]interface Vlanif 20

　　[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0

　　[Quidway-Vlanif20]interface Vlanif 30

　　[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

　　[Quidway-Vlanif30]quit

　　# 设置允许通过的主机

　　[Quidway] am enable

　　[Quidway] interface ethernet1/0/2

　　[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10

　　[Quidway-Ethernet1/0/2] quit

　　# 此时vlan20中能通过其网关的就只有192.168.20.10这台主机了

　　五、ACL(二层、三层)

　　ACL(Access Control List，访问控制列表)主要用来实现流识别功能。网络设备为

　　了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特

　　定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。

　　ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、

　　目的地址、端口号等。

　　由ACL定义的数据包匹配规则，可以被其它需要对流量进行区分的功能引用，如

　　QoS中流分类规则的定义。

　　根据应用目的，可将ACL分为下面几种：

　　基本ACL：只根据三层源IP地址制定规则。

　　高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类

　　型、协议特性等三、四层信息制定规则。

　　二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类

　　型等二层信息制定规则。

　　ACL在交换机上的应用方式

　　1. ACL直接下发到硬件中的情况

　　交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和

　　流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的，用户即使

　　在定义ACL时配置了匹配顺序，该匹配顺序也不起作用。

　　ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、通过ACL过

　　滤转发数据等。

　　2. ACL被上层模块引用的情况

　　交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹

　　配顺序有两种：config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配

　　该规则时系统自动排序，即按“深度优先”的顺序)。这种情况下用户可以在定义

　　ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹

　　配顺序，就不能再更改该顺序。只有把该列表中所有的规则全部删除后，才能重新

　　指定其匹配顺序。

　　ACL被软件引用的情况包括：对登录用户进行控制时引用ACL等。

　　例：(华为 S3526)

　　ACL 直接下发到硬件中

　　1. 组网需求

　　vlan20的网关为交换机的Ethernet1/0/2端口

　　vlan30的网关为交换机的Ethernet1/0/3端口

　　交换机通过Ethernet1/0/1端口与外部网络相连

　　IP地址为192.168.20.10的主机MAC地址为1E-65-9D-2D-21-E2

　　IP地址为192.168.30.10的主机MAC地址为1C-65-9D-2D-21-E2

　　禁止192.168.20.10的主机与192.168.30.10的主机通信

　　2. 组网图

　　3. 配置步骤

　　# 修改端口类型

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway]interface Ethernet 1/0/2

　　[Quidway-Ethernet1/0/2]port link-type access

　　[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

上一页  [1] [2] [3]  下一页