H3C交换机端口安全技术之端口隔离的应用

　　　　　　　　　　　　　　　　　　　H3C交换机端口安全技术---端口隔离的应用

　　相信大家所在公司都会有财务部门，普通员工和领导，网络工程师在配置的时候为了安全考虑，会用一些硬件上自身支持的功能区做一些安全措施。为了方便说明需求，我特意画了一张简单拓扑图，以方便我说明。如下图：

需求如下：

　　　　1>.VLAN10中的pc无法实现互相访问;(端口隔离技术)

　　　　2>.VLAN10中的pc均可以访问共享服务器;(Trunk技术)

　　　　3>.VLAN20中的所有pc可以互相访问；（access与trunk技术）

此处试验，我用的是华为交换机配置的，配置过程如下：

注意：我此处将"1楼弱点交换机"的设备名称更改为“SW1”,将“2楼弱点交换机”的设备更改为“SW2”

1楼弱点交换机配置如下：

 1 SW1配置详解：
 2 [Huawei]sysname SW1   #更改设备名称
 3 [SW1]interface GigabitEthernet 0/0/1   #进入接口配置模式
 4 [SW1-GigabitEthernet0/0/1]port link-type access   #将该接口链路类型配置成access模式
 5 [SW1-GigabitEthernet0/0/1]quit  #退出接口配置模式
 6 [SW1]interface GigabitEthernet 0/0/3
 7 [SW1-GigabitEthernet0/0/3]port link-type access 
 8 [SW1-GigabitEthernet0/0/3]quit
 9 [SW1]interface GigabitEthernet 0/0/7
10 [SW1-GigabitEthernet0/0/7]port link-type access 
11 [SW1-GigabitEthernet0/0/7]quit
12 [SW1]vlan 10    #创建一个VLAN其ID为10
13 [SW1-vlan10]description caiwu   #对VLAN10进行描述，以便告诉运维人员这个VLAN10是用来干嘛的
14 [SW1-vlan10]port GigabitEthernet 0/0/1  #将GigabitEthernet 0/0/1 和GigabitEthernet 0/0/3 两个端口加入该VLAN之中。
15 [SW1-vlan10]port GigabitEthernet 0/0/3
16 [SW1]display vlan 10   #查看VLAN10的信息
17 [SW1]interface GigabitEthernet 0/0/2
18 [SW1-GigabitEthernet0/0/2]port link-type access 
19 [SW1-GigabitEthernet0/0/2]quit 
20 [SW1]interface GigabitEthernet 0/0/4
21 [SW1-GigabitEthernet0/0/4]port link-type access 
22 [SW1-GigabitEthernet0/0/4]quit
23 [SW1]vlan 20
24 [SW1-vlan20]description yuangong
25 [SW1-vlan20]port GigabitEthernet 0/0/2
26 [SW1-vlan20]port GigabitEthernet 0/0/4
27 [SW1-vlan20]quit 
28 [SW1]display vlan 20
29 [SW1]interface GigabitEthernet 0/0/10
30 [SW1-GigabitEthernet0/0/10]port link-type trunk   #配置链路模式为trunk模式
31 [SW1-GigabitEthernet0/0/10]port trunk allow-pass vlan all   #该trunk口允许所有的VLAN通过
32 [SW1-GigabitEthernet0/0/10]quit 
33 [SW1]display vlan 10 to 20  #显示VLAN10 到20之间所有的VLAN信息，我们仅仅创建了2个VLAN，所以我们应该只能看到2个VLAN信息哟！
34 --------------------------------------------------------------------------------
35 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
36 MP: Vlan-mapping;               ST: Vlan-stacking;
37 #: ProtocolTransparent-vlan;    *: Management-vlan;
38 --------------------------------------------------------------------------------
39 
40 VID  Type    Ports                
41 --------------------------------------------------------------------------------
42 10   common  UT:GE0/0/1(U)      GE0/0/3(U)      GE0/0/7(U)                      
43              TG:GE0/0/10(U)           
44 20   common  UT:GE0/0/2(U)      GE0/0/4(U)                                      
45              TG:GE0/0/10(U)           
46 
47 VID  Status  Property      MAC-LRN Statistics Description      
48 --------------------------------------------------------------------------------
49 10   enable  default       enable  disable    caiwu                             
50 20   enable  default       enable  disable    yuangong                          
51 [SW1]
52 [SW1]interface GigabitEthernet 0/0/7  
53 [SW1-GigabitEthernet0/0/7]port-isolate enable  #启用端口隔离功能，注意的是，只有开启该功能的的端口不能互相访问，换句话说就是，在同一个VLAN中如果有一个端口没有开启该服务，还是可以访问这个端口的IP哟，如果你讲那个能访问的端口也启用该功能的那就不能互相访问啦！
54 [SW1-GigabitEthernet0/0/7]quit 
55 [SW1]interface GigabitEthernet 0/0/1
56 [SW1-GigabitEthernet0/0/1]port-isolate enable 
57 [SW1-GigabitEthernet0/0/1]quit 
58 [SW1]interface GigabitEthernet 0/0/3
59 [SW1-GigabitEthernet0/0/3]port-isolate enable 
60 [SW1-GigabitEthernet0/0/3]quit

2楼弱点交换机配置如下：

 1 SW2配置详解：
 2 [Huawei]sysname SW2
 3 [SW2]interface Ethernet 0/0/5
 4 [SW2-Ethernet0/0/5]port link-type access 
 5 [SW2-Ethernet0/0/5]quit 
 6 [SW2]interface Ethernet 0/0/6
 7 [SW2-Ethernet0/0/6]port link-type access 
 8 [SW2-Ethernet0/0/6]quit    
 9 [SW2]vlan 10
10 [SW2-vlan10]description caiwu
11 [SW2-vlan10]port Ethernet 0/0/5
12 [SW2-vlan10]quit
13 [SW2]vlan 20
14 [SW2-vlan20]description yuangong
15 [SW2-vlan20]port Ethernet 0/0/6
16 [SW2-vlan20]quit 
17 [SW2]interface Ethernet 0/0/10
18 [SW2-Ethernet0/0/10]port link-type trunk 
19 [SW2-Ethernet0/0/10]port trunk allow-pass vlan all
20 [SW2-Ethernet0/0/10]quit
21 [SW2]display vlan 10 to 20
22 --------------------------------------------------------------------------------
23 U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
24 MP: Vlan-mapping;               ST: Vlan-stacking;
25 #: ProtocolTransparent-vlan;    *: Management-vlan;
26 --------------------------------------------------------------------------------
27 
28 VID  Type    Ports                
29 --------------------------------------------------------------------------------
30 10   common  UT:Eth0/0/5(U)           
31 20   common  UT:Eth0/0/6(U)           
32 
33 VID  Status  Property      MAC-LRN Statistics Description      
34 --------------------------------------------------------------------------------
35 10   enable  default       enable  disable    caiwu                             
36 20   enable  default       enable  disable    yuangong                          
37 [SW2]

测试结果如下：

“总经理电脑”测试结果如下：

 1 PC>ping 192.168.10.3
 2 
 3 Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break
 4 From 192.168.10.1: Destination host unreachable
 5 From 192.168.10.1: Destination host unreachable
 6 From 192.168.10.1: Destination host unreachable
 7 From 192.168.10.1: Destination host unreachable
 8 From 192.168.10.1: Destination host unreachable
 9 
10 PC>ping 192.168.10.7
11 
12 Ping 192.168.10.7: 32 data bytes, Press Ctrl_C to break
13 From 192.168.10.1: Destination host unreachable
14 From 192.168.10.1: Destination host unreachable
15 From 192.168.10.1: Destination host unreachable
16 From 192.168.10.1: Destination host unreachable
17 From 192.168.10.1: Destination host unreachable
18 
19 PC>ping 192.168.10.5
20 
21 Ping 192.168.10.5: 32 data bytes, Press Ctrl_C to break
22 From 192.168.10.5: bytes=32 seq=1 ttl=128 time=31 ms
23 From 192.168.10.5: bytes=32 seq=2 ttl=128 time=16 ms
24 From 192.168.10.5: bytes=32 seq=3 ttl=128 time=32 ms
25 From 192.168.10.5: bytes=32 seq=4 ttl=128 time=31 ms
26 From 192.168.10.5: bytes=32 seq=5 ttl=128 time=62 ms
27 
28 --- 192.168.10.5 ping statistics ---
29   5 packet(s) transmitted
30   5 packet(s) received
31   0.00% packet loss
32   round-trip min/avg/max = 16/34/62 ms
33 
34 PC>

“普通员工电脑_2”测试结果如下：

  1 PC>ping 192.168.20.4
  2 
  3 Ping 192.168.20.4: 32 data bytes, Press Ctrl_C to break
  4 From 192.168.20.4: bytes=32 seq=1 ttl=128 time=31 ms
  5 
  6 --- 192.168.20.4 ping statistics ---
  7   1 packet(s) transmitted
  8   1 packet(s) received
  9   0.00% packet loss
 10   round-trip min/avg/max = 31/31/31 ms
 11 
 12 PC>ping 192.168.20.2
 13 
 14 Ping 192.168.20.2: 32 data bytes, Press Ctrl_C to break
 15 From 192.168.20.2: bytes=32 seq=1 ttl=128 time<1 ms
 16 
 17 --- 192.168.20.2 ping statistics ---
 18   1 packet(s) transmitted
 19   1 packet(s) received
 20   0.00% packet loss
 21   round-trip min/avg/max = 0/0/0 ms
 22 
 23 PC>ping 192.168.20.6
 24 
 25 Ping 192.168.20.6: 32 data bytes, Press Ctrl_C to break
 26 From 192.168.20.6: bytes=32 seq=1 ttl=128 time=46 ms
 27 
 28 --- 192.168.20.6 ping statistics ---
 29   1 packet(s) transmitted
 30   1 packet(s) received
 31   0.00% packet loss
 32   round-trip min/avg/max = 46/46/46 ms
 33 
 34 PC>ipconfig
 35 
 36 Link local IPv6 address...........: fe80::5689:98ff:fecf:488
 37 IPv6 address......................: :: / 128
 38 IPv6 gateway......................: ::
 39 IPv4 address......................: 192.168.20.2
 40 Subnet mask.......................: 255.255.255.0
 41 Gateway...........................: 0.0.0.0
 42 Physical address..................: 54-89-98-CF-04-88
 43 DNS server........................:
 44 PC>

H3C配置注意事项：

配置端口隔离部分：

需要在放行的端口配置：
[SW2-Ethernet0/0/5]port-isolate uplink-port
在不放行的端口配置：
[SW1-GigabitEthernet0/0/1]port-isolate enable

配置trunk部分：
[SW2-Ethernet0/0/10]port link-type trunk
[SW2-Ethernet0/0/10]port trunk permit vlan all

下面让我们一起看一下H3C配置过程：

交换机端口安全技术

【实验目的】

l 掌握802.1X的基本配置

l 掌握端口隔离的基本配置

l 掌握端口绑定技术基本配置

【实验要求】

根据要求为交换机配置相应的端口安全技术

【实验设备】

交换机一台、PC机两台、网线两根、console线

【实验拓扑】

【实验过程】

一、配置802.1X

1、IP地址规划

设备名称	IP地址
PC1	192.168.1.1
PC2	192.168.1.2

2、实验之前先测试网络的连通性

3、在交换机上启用802.1X协议并创建本地用户

[SW1]dot1x

[SW1]dot1x interface e0/4/0 e0/4/1

[SW1]local-user h3cne

[SW1-luser-h3cne]service-type lan-access

[SW1-luser-h3cne]password simple h3cse

[SW1-luser-h3cne]qu

[SW1]

4、验证配置完成后，再检查一下网络的连通性，测试结果应该是不通的。

二、配置端口隔离

1、IP地址规划

设备名称	IP地址
PC1	192.168.1.1
PC2	192.168.1.2

2、在交换机上启用端口隔离，设置端口E0/4/0和E0/4/1为隔离组成员，端口E0/4/7为隔离组的上行端口

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]port-isolate enable

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]port-isolate enable

[SW1-Ethernet0/4/1]qu

[SW1]interface e0/4/7

[SW1-Ethernet0/4/7]port-isolate uplink-port

[SW1-Ethernet0/4/7]qu

[SW1]

3、显示隔离组信息

4、测试网络的连通性，结果应该是不通的。

三、配置端口绑定

1、IP地址规划

设备名称	IP地址
PC1	192.168.1.1
PC2	192.168.1.2

2、在交换机上启用端口绑定，设置端口e/4/0与PC1的MAC地址绑定，端口e/4/1与PC2的MAC地址绑定。

[SW1]interface e0/4/0

[SW1-Ethernet0/4/0]user-bind ip-addr 192.168.1.1 mac-address 0010-233D-5695

[SW1-Ethernet0/4/0]qu

[SW1]interface e0/4/1

[SW1-Ethernet0/4/1]user-bind ip-addr 192.168.1.2 mac-address 0013-728E-4751

[SW1-Ethernet0/4/1]qu

3、测试网络的连通性，测试结果应该是不通

【思考拓展】

在实验一配置802.1X中，使用交换机内置的本地服务器对用户进行了本地认证。可不可以不再交换机上配置用户名、密码等信息，而对用户进行认证？

根据隔离组信息可以看出E/4/0和e/4/1在隔离组中，E0/4/7为上行端口