08-安全
本章节下载: 08-安全 (241.91 KB)
为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
目前:
· 设备支持多个隔离组(以下简称多隔离组),用户可以手工配置。
· 隔离组内可以加入的端口数量没有限制。
聚合组的成员端口不允许配置成为上行端口。反之,已经配置为上行端口的接口不能加入聚合组。特殊情况下(为了兼容旧的配置文件),如果用户同时配置端口为聚合组的成员端口和隔离组的上行端口,则只有聚合组配置生效,隔离组将被删除。(聚合相关内容请参见“网络”)
端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内、外端口的二层数据双向互通。
端口隔离组配置的推荐步骤如下表所示。
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,不存在隔离组 |
||
2 |
配置隔离组的端口 |
必选 一个隔离组中可以配置多个端口 缺省情况下,隔离组中没有加入任何端口 |
|
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“组设置”页签,进入如下图所示的页面。在此页面可以添加和删除隔离组。
(3) 添加隔离组,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
配置项 |
说明 |
隔离组ID |
设置要添加的隔离组的ID |
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“端口设置”页签,进入如下图所示的页面。
(3) 配置隔离组中端口,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
配置项 |
说明 |
隔离组ID |
设置要为其配置端口的隔离组的ID |
设置类型 |
设置端口加入到隔离组后的端口类型 · 隔离口:表示将要加入的端口作为隔离组中的普通端口 · 上行口:表示将要加入的端口作为隔离组中的上行端口 设备不支持配置上行端口 |
选择端口 |
设置要加入到隔离组的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 当设置类型选择“隔离口”时,可以同时选择多个端口进行配置 如果端口已经被配置为某个隔离组的隔离口,则不能再配置为该隔离组和其他隔离组的上行口,但是可以配置为其他隔离组的隔离口 |
聚合口 |
设备上的聚合接口 · 对于WX3000E系列有线无线一体化交换机的交换引擎来说,GE1/0/29和GE1/0/30接口聚合成BAGG1聚合接口 · 对于WX3000E系列有线无线一体化交换机的无线控制引擎来说,GE1/0/1和GE1/0/2接口聚合成BAGG1聚合接口 |
· 小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连。
· 设备通过GigabitEthernet1/0/1端口与外部网络相连。
· GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图1-3 端口隔离组配置组网图
(1) 添加隔离组1。
步骤1:在导航栏中选择“安全 > 端口隔离组”。
步骤2:单击“组设置”页签。
步骤3:输入隔离组ID为“1”,如下图所示。
步骤4:单击<应用>按钮完成操作。
(2) 配置GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4为隔离组的普通端口。
步骤1:单击“端口设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择隔离组ID为“1”。
· 选择设置类型为“隔离口”。
· 在面板示意图上选中端口“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 查看隔离组的信息。
步骤1:单击“显示”页签。
步骤2:查看到隔离组1中的隔离口有“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”,如下图所示。
授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。
(1) 在导航栏中选择“安全 > 授权IP”。
(2) 单击“设置”页签,进入如下图所示的页面。
(3) 配置授权IP,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表2-1 授权IP的详细配置
配置项 |
说明 |
|
Telnet |
IPv4 ACL |
设置Telnet服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
IPv6 ACL |
设置Telnet服务与IPv6 ACL关联 可选的IPv6 ACL可在“QoS > ACL IPv6”中配置 |
|
Web(HTTP) |
IPv4 ACL |
设置HTTP服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
如下图所示,配置Switch实现不允许Host A通过Telnet和HTTP服务访问Switch,而Host B的访问则不进行限制。
图2-2 授权IP配置组网图
(1) 创建ACL。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签。
步骤3:输入访问控制列表ID为“2001”,如下图所示。
步骤4:单击<应用>按钮完成操作。
(2) 配置仅允许Host B访问的规则。
步骤1:单击“基本配置”页签。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“2001”。
· 选择操作为“允许”。
· 选中“源IP地址”前的复选框,输入源IP地址为“10.1.1.3”。
· 输入源地址通配符为“0.0.0.0”。
步骤3:单击<添加>按钮完成操作。
图2-4 配置仅允许Host B访问的规则
(3) 配置授权IP。
步骤1:在导航栏中选择“安全 > 授权IP”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 在“Telnet”中选择IPv4 ACL为“2001”。
· 在“Web(HTTP)”中选择IPv4 ACL为“2001”。
步骤4:单击<应用>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!