H3C S1850V2系列以太网交换机 用户手册-6W100

07-安全

本章节下载 07-安全  (334.32 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S1800/S1850V2/Configure/User_Manual/H3C_S1850V2_UM-6W100/202010/1348977_30005_0.htm

07-安全


1 端口隔离

1.1  概述

为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前:

·     设备只支持一个隔离组(以下简称单隔离组),由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。

·     隔离组内可以加入的端口数量没有限制。

对于属于不同VLAN的端口,二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内的端口和隔离组外端口二层流量双向互通。

1.2  配置单隔离组

(1)     在导航栏中选择“安全 > 端口隔离组”。

(2)     单击“端口设置”页签,进入如下图所示的页面。

图1-1 设置端口隔离组

 

(3)     配置端口隔离组,详细配置如下表所示。

(4)     单击<应用>按钮完成操作。

表1-1 端口隔离的详细配置

配置项

说明

设置类型

设置端口加入到隔离组后的端口类型

·     隔离口:表示将要加入的端口作为隔离组中的普通端口

·     上行口:表示将要加入的端口作为隔离组中的上行端口

提示

本系列交换机不支持配置上行口(Uplink port)

选择端口

设置要加入到隔离组的端口

在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择

 

1.3  端口隔离组典型配置举例

1. 组网需求

·     小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连。

·     设备通过GigabitEthernet1/0/1端口与外部网络相连。

·     GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。

图1-2 端口隔离组配置组网图

 

2. 配置步骤

(1)     配置GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4为隔离组的普通端口。

步骤1:在导航栏中选择“安全 > 端口隔离组”。

步骤2:单击“端口设置”页签。

步骤3:进行如下配置,如下图所示。

·     选中设置类型“隔离口”前的单选按钮。

·     在面板示意图上选中端口“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”。

图1-3 配置隔离组的普通端口

 

步骤4:单击<应用>按钮,弹出配置进度对话框。

步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

(2)     查看隔离组的信息。

步骤1:单击“显示”页签。

步骤2:查看到隔离组1中的隔离口有“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”,如下图所示。

图1-4 查看隔离组的信息

 


2 授权IP

2.1  概述

授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。

2.2  配置授权IP

(1)     在导航栏中选择“安全 > 授权IP”。

(2)     单击“设置”页签,进入如下图所示的页面。

图2-1 授权IP设置

 

(3)     配置授权IP,详细配置如下表所示。

(4)     单击<应用>按钮完成操作。

表2-1 授权IP的详细配置

配置项

说明

Telnet

IPv4 ACL

设置Telnet服务与IPv4 ACL关联

可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

IPv6 ACL

设置Telnet服务与IPv6 ACL关联

可选的IPv6 ACL可在“QoS > ACL IPv6”中配置

Web(HTTP)

IPv4 ACL

设置HTTP服务与IPv4 ACL关联

可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

 

2.3  授权IP典型配置举例

1. 组网需求

如下图所示,配置Switch实现不允许Host A通过Telnet和HTTP服务访问Switch,而Host B的访问则不进行限制。

图2-2 授权IP配置组网图

 

2. 配置步骤

(1)     创建ACL。

步骤1:在导航栏中选择“QoS > ACL IPv4”。

步骤2:单击“新建”页签,如下图所示。

图2-3 创建ACL

 

步骤3:输入访问控制列表ID为“2001”。

步骤4:单击<应用>按钮完成操作。

(2)     配置仅允许Host B访问的规则。

步骤1:单击“基本配置”页签。

步骤2:进行如下配置,如下图所示。

·     选择访问控制列表为“2001”。

·     选择操作为“允许”。

·     选中“源IP地址”前的复选框,输入源IP地址为“10.1.1.3”。

·     输入源地址通配符为“0.0.0.0”。

步骤3:单击<新建>按钮完成操作。

图2-4 配置仅允许Host B访问的规则

 

(3)     配置授权IP。

步骤1:在导航栏中选择“安全 > 授权IP”。

步骤2:单击“设置”页签。

步骤3:进行如下配置,如下图所示。

·     在“Telnet”中选择IPv4 ACL为“2001”。

·     在“Web(HTTP)”中选择IPv4 ACL为“2001”。

步骤4:单击<应用>按钮完成操作。

图2-5 配置授权IP

 


3 远端环回检测

3.1  概述

端口发生环回是指接口发出去的报文又通过该端口回到设备,环回的存在可能导致广播风暴。远端环回检测就是检测设备的端口是否有环回存在。

当用户开启以太网端口的远端环回检测功能后,系统会定时检测端口是否存在环回。如果检测到端口存在环回,系统会将该端口设置为处于远端环回检测受控状态。

·     对于Access端口,如果系统检测到端口存在环回,则阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。

·     对于Trunk端口和Hybrid端口,如果系统检测到端口存在环回,则向终端上报Trap信息。当端口上的还同时开启了阻塞端口转发功能时,将阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。

3.2  配置远端环回检测

3.2.1  配置概述

远端环回检测配置的推荐步骤如下表所示。

表3-1 远端环回检测配置步骤

步骤

配置任务

说明

1

3.2.2  配置全局的远端环回检测功能

必选

缺省情况下,全局的远端环回检测功能处于关闭状态

提示

只有在全局和端口都开启远端环回检测功能,该端口的远端环回检测功能才生效

2

3.2.3  配置端口的远端环回检测功能

必选

缺省情况下,端口的远端环回检测功能处于关闭状态

 

3.2.2  配置全局的远端环回检测功能

(1)     在导航栏中选择“安全 > 远端环回检测”,进入如下图所示的页面。

图3-1 远端环回检测

 

(2)     在“系统环回检测设置”中可以显示和配置全局的远端环回检测功能信息。配置全局远端环回检测功能,详细配置如下表所示。

(3)     在“系统环回检测设置”中单击<确定>按钮完成操作。

表3-2 全局远端环回检测功能的详细配置

配置项

说明

开启环回检测

设置是否开启全局的远端环回检测功能

时间间隔

设置系统进行远端环回检测的时间间隔

 

3.2.3  配置端口的远端环回检测功能

(1)     在导航栏中选择“安全 > 远端环回检测”,进入如图3-1所示的页面。

(2)     在“端口环回检测”中可以显示和配置端口的远端环回检测功能参数信息。配置端口远端环回检测功能,详细配置如下表所示。

(3)     在“端口环回检测”中单击<确定>按钮完成操作。

表3-3 端口远端环回检测功能的详细配置

配置项

说明

环回检测

设置是否开启端口的远端环回检测功能

阻塞端口转发

设置当系统检测到Trunk端口或Hybrid端口存在环回时,是否开启阻塞端口转发数据报文的功能

提示

此配置项只对Trunk端口和Hybrid端口可配

按VLAN检测

设置是否开启在Trunk端口和Hybrid端口所属的所有VLAN内进行环回监测的功能

如果设置为“关闭”,则系统只在Trunk端口和Hybrid端口所属的缺省VLAN内进行环回监测

提示

此配置项只对Trunk端口和Hybrid端口可配

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们