H3C交换机端口安全技术之端口隔离的应用
H3C交换机端口安全技术---端口隔离的应用
相信大家所在公司都会有财务部门,普通员工和领导,网络工程师在配置的时候为了安全考虑,会用一些硬件上自身支持的功能区做一些安全措施。为了方便说明需求,我特意画了一张简单拓扑图,以方便我说明。如下图:
需求如下:
1>.VLAN10中的pc无法实现互相访问;(端口隔离技术)
2>.VLAN10中的pc均可以访问共享服务器;(Trunk技术)
3>.VLAN20中的所有pc可以互相访问;(access与trunk技术)
此处试验,我用的是华为交换机配置的,配置过程如下:
注意:我此处将"1楼弱点交换机"的设备名称更改为“SW1”,将“2楼弱点交换机”的设备更改为“SW2”
1楼弱点交换机配置如下:
1 SW1配置详解: 2 [Huawei]sysname SW1 #更改设备名称 3 [SW1]interface GigabitEthernet 0/0/1 #进入接口配置模式 4 [SW1-GigabitEthernet0/0/1]port link-type access #将该接口链路类型配置成access模式 5 [SW1-GigabitEthernet0/0/1]quit #退出接口配置模式 6 [SW1]interface GigabitEthernet 0/0/3 7 [SW1-GigabitEthernet0/0/3]port link-type access 8 [SW1-GigabitEthernet0/0/3]quit 9 [SW1]interface GigabitEthernet 0/0/7 10 [SW1-GigabitEthernet0/0/7]port link-type access 11 [SW1-GigabitEthernet0/0/7]quit 12 [SW1]vlan 10 #创建一个VLAN其ID为10 13 [SW1-vlan10]description caiwu #对VLAN10进行描述,以便告诉运维人员这个VLAN10是用来干嘛的 14 [SW1-vlan10]port GigabitEthernet 0/0/1 #将GigabitEthernet 0/0/1 和GigabitEthernet 0/0/3 两个端口加入该VLAN之中。 15 [SW1-vlan10]port GigabitEthernet 0/0/3 16 [SW1]display vlan 10 #查看VLAN10的信息 17 [SW1]interface GigabitEthernet 0/0/2 18 [SW1-GigabitEthernet0/0/2]port link-type access 19 [SW1-GigabitEthernet0/0/2]quit 20 [SW1]interface GigabitEthernet 0/0/4 21 [SW1-GigabitEthernet0/0/4]port link-type access 22 [SW1-GigabitEthernet0/0/4]quit 23 [SW1]vlan 20 24 [SW1-vlan20]description yuangong 25 [SW1-vlan20]port GigabitEthernet 0/0/2 26 [SW1-vlan20]port GigabitEthernet 0/0/4 27 [SW1-vlan20]quit 28 [SW1]display vlan 20 29 [SW1]interface GigabitEthernet 0/0/10 30 [SW1-GigabitEthernet0/0/10]port link-type trunk #配置链路模式为trunk模式 31 [SW1-GigabitEthernet0/0/10]port trunk allow-pass vlan all #该trunk口允许所有的VLAN通过 32 [SW1-GigabitEthernet0/0/10]quit 33 [SW1]display vlan 10 to 20 #显示VLAN10 到20之间所有的VLAN信息,我们仅仅创建了2个VLAN,所以我们应该只能看到2个VLAN信息哟! 34 -------------------------------------------------------------------------------- 35 U: Up; D: Down; TG: Tagged; UT: Untagged; 36 MP: Vlan-mapping; ST: Vlan-stacking; 37 #: ProtocolTransparent-vlan; *: Management-vlan; 38 -------------------------------------------------------------------------------- 39 40 VID Type Ports 41 -------------------------------------------------------------------------------- 42 10 common UT:GE0/0/1(U) GE0/0/3(U) GE0/0/7(U) 43 TG:GE0/0/10(U) 44 20 common UT:GE0/0/2(U) GE0/0/4(U) 45 TG:GE0/0/10(U) 46 47 VID Status Property MAC-LRN Statistics Description 48 -------------------------------------------------------------------------------- 49 10 enable default enable disable caiwu 50 20 enable default enable disable yuangong 51 [SW1] 52 [SW1]interface GigabitEthernet 0/0/7 53 [SW1-GigabitEthernet0/0/7]port-isolate enable #启用端口隔离功能,注意的是,只有开启该功能的的端口不能互相访问,换句话说就是,在同一个VLAN中如果有一个端口没有开启该服务,还是可以访问这个端口的IP哟,如果你讲那个能访问的端口也启用该功能的那就不能互相访问啦! 54 [SW1-GigabitEthernet0/0/7]quit 55 [SW1]interface GigabitEthernet 0/0/1 56 [SW1-GigabitEthernet0/0/1]port-isolate enable 57 [SW1-GigabitEthernet0/0/1]quit 58 [SW1]interface GigabitEthernet 0/0/3 59 [SW1-GigabitEthernet0/0/3]port-isolate enable 60 [SW1-GigabitEthernet0/0/3]quit
2楼弱点交换机配置如下:
1 SW2配置详解: 2 [Huawei]sysname SW2 3 [SW2]interface Ethernet 0/0/5 4 [SW2-Ethernet0/0/5]port link-type access 5 [SW2-Ethernet0/0/5]quit 6 [SW2]interface Ethernet 0/0/6 7 [SW2-Ethernet0/0/6]port link-type access 8 [SW2-Ethernet0/0/6]quit 9 [SW2]vlan 10 10 [SW2-vlan10]description caiwu 11 [SW2-vlan10]port Ethernet 0/0/5 12 [SW2-vlan10]quit 13 [SW2]vlan 20 14 [SW2-vlan20]description yuangong 15 [SW2-vlan20]port Ethernet 0/0/6 16 [SW2-vlan20]quit 17 [SW2]interface Ethernet 0/0/10 18 [SW2-Ethernet0/0/10]port link-type trunk 19 [SW2-Ethernet0/0/10]port trunk allow-pass vlan all 20 [SW2-Ethernet0/0/10]quit 21 [SW2]display vlan 10 to 20 22 -------------------------------------------------------------------------------- 23 U: Up; D: Down; TG: Tagged; UT: Untagged; 24 MP: Vlan-mapping; ST: Vlan-stacking; 25 #: ProtocolTransparent-vlan; *: Management-vlan; 26 -------------------------------------------------------------------------------- 27 28 VID Type Ports 29 -------------------------------------------------------------------------------- 30 10 common UT:Eth0/0/5(U) 31 20 common UT:Eth0/0/6(U) 32 33 VID Status Property MAC-LRN Statistics Description 34 -------------------------------------------------------------------------------- 35 10 enable default enable disable caiwu 36 20 enable default enable disable yuangong 37 [SW2]
测试结果如下:
“总经理电脑”测试结果如下:
1 PC>ping 192.168.10.3 2 3 Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break 4 From 192.168.10.1: Destination host unreachable 5 From 192.168.10.1: Destination host unreachable 6 From 192.168.10.1: Destination host unreachable 7 From 192.168.10.1: Destination host unreachable 8 From 192.168.10.1: Destination host unreachable 9 10 PC>ping 192.168.10.7 11 12 Ping 192.168.10.7: 32 data bytes, Press Ctrl_C to break 13 From 192.168.10.1: Destination host unreachable 14 From 192.168.10.1: Destination host unreachable 15 From 192.168.10.1: Destination host unreachable 16 From 192.168.10.1: Destination host unreachable 17 From 192.168.10.1: Destination host unreachable 18 19 PC>ping 192.168.10.5 20 21 Ping 192.168.10.5: 32 data bytes, Press Ctrl_C to break 22 From 192.168.10.5: bytes=32 seq=1 ttl=128 time=31 ms 23 From 192.168.10.5: bytes=32 seq=2 ttl=128 time=16 ms 24 From 192.168.10.5: bytes=32 seq=3 ttl=128 time=32 ms 25 From 192.168.10.5: bytes=32 seq=4 ttl=128 time=31 ms 26 From 192.168.10.5: bytes=32 seq=5 ttl=128 time=62 ms 27 28 --- 192.168.10.5 ping statistics --- 29 5 packet(s) transmitted 30 5 packet(s) received 31 0.00% packet loss 32 round-trip min/avg/max = 16/34/62 ms 33 34 PC>
“普通员工电脑_2”测试结果如下:
1 PC>ping 192.168.20.4 2 3 Ping 192.168.20.4: 32 data bytes, Press Ctrl_C to break 4 From 192.168.20.4: bytes=32 seq=1 ttl=128 time=31 ms 5 6 --- 192.168.20.4 ping statistics --- 7 1 packet(s) transmitted 8 1 packet(s) received 9 0.00% packet loss 10 round-trip min/avg/max = 31/31/31 ms 11 12 PC>ping 192.168.20.2 13 14 Ping 192.168.20.2: 32 data bytes, Press Ctrl_C to break 15 From 192.168.20.2: bytes=32 seq=1 ttl=128 time<1 ms 16 17 --- 192.168.20.2 ping statistics --- 18 1 packet(s) transmitted 19 1 packet(s) received 20 0.00% packet loss 21 round-trip min/avg/max = 0/0/0 ms 22 23 PC>ping 192.168.20.6 24 25 Ping 192.168.20.6: 32 data bytes, Press Ctrl_C to break 26 From 192.168.20.6: bytes=32 seq=1 ttl=128 time=46 ms 27 28 --- 192.168.20.6 ping statistics --- 29 1 packet(s) transmitted 30 1 packet(s) received 31 0.00% packet loss 32 round-trip min/avg/max = 46/46/46 ms 33 34 PC>ipconfig 35 36 Link local IPv6 address...........: fe80::5689:98ff:fecf:488 37 IPv6 address......................: :: / 128 38 IPv6 gateway......................: :: 39 IPv4 address......................: 192.168.20.2 40 Subnet mask.......................: 255.255.255.0 41 Gateway...........................: 0.0.0.0 42 Physical address..................: 54-89-98-CF-04-88 43 DNS server........................: 44 PC>
H3C配置注意事项:
配置端口隔离部分:
需要在放行的端口配置:
[SW2-Ethernet0/0/5]port-isolate uplink-port
在不放行的端口配置:
[SW1-GigabitEthernet0/0/1]port-isolate enable
配置trunk部分:
[SW2-Ethernet0/0/10]port link-type trunk
[SW2-Ethernet0/0/10]port trunk permit vlan all
下面让我们一起看一下H3C配置过程:
交换机端口安全技术
【实验目的】
l 掌握802.1X的基本配置
l 掌握端口隔离的基本配置
l 掌握端口绑定技术基本配置
【实验要求】
根据要求为交换机配置相应的端口安全技术
【实验设备】
交换机一台、PC机两台、网线两根、console线
【实验拓扑】
【实验过程】
一、配置802.1X
1、IP地址规划
设备名称 |
IP地址 |
PC1 |
192.168.1.1 |
PC2 |
192.168.1.2 |
2、实验之前先测试网络的连通性
3、在交换机上启用802.1X协议并创建本地用户
[SW1]dot1x
[SW1]dot1x interface e0/4/0 e0/4/1
[SW1]local-user h3cne
[SW1-luser-h3cne]service-type lan-access
[SW1-luser-h3cne]password simple h3cse
[SW1-luser-h3cne]qu
[SW1]
4、验证 配置完成后,再检查一下网络的连通性,测试结果应该是不通的。
二、配置端口隔离
1、IP地址规划
设备名称 |
IP地址 |
PC1 |
192.168.1.1 |
PC2 |
192.168.1.2 |
2、在交换机上启用端口隔离,设置端口E0/4/0和E0/4/1为隔离组成员,端口E0/4/7为隔离组的上行端口
[SW1]interface e0/4/0
[SW1-Ethernet0/4/0]port-isolate enable
[SW1-Ethernet0/4/0]qu
[SW1]interface e0/4/1
[SW1-Ethernet0/4/1]port-isolate enable
[SW1-Ethernet0/4/1]qu
[SW1]interface e0/4/7
[SW1-Ethernet0/4/7]port-isolate uplink-port
[SW1-Ethernet0/4/7]qu
[SW1]
3、显示隔离组信息
4、测试网络的连通性,结果应该是不通的。
三、配置端口绑定
1、IP地址规划
设备名称 |
IP地址 |
PC1 |
192.168.1.1 |
PC2 |
192.168.1.2 |
2、在交换机上启用端口绑定,设置端口e/4/0与PC1的MAC地址绑定,端口e/4/1与PC2的MAC地址绑定。
[SW1]interface e0/4/0
[SW1-Ethernet0/4/0]user-bind ip-addr 192.168.1.1 mac-address 0010-233D-5695
[SW1-Ethernet0/4/0]qu
[SW1]interface e0/4/1
[SW1-Ethernet0/4/1]user-bind ip-addr 192.168.1.2 mac-address 0013-728E-4751
[SW1-Ethernet0/4/1]qu
3、测试网络的连通性,测试结果应该是不通
【思考拓展】
在实验一 配置802.1X中,使用交换机内置的本地服务器对用户进行了本地认证。可不可以不再交换机上配置用户名、密码等信息,而对用户进行认证?
根据隔离组信息可以看出E/4/0和e/4/1在隔离组中,E0/4/7为上行端口