Cyber_Security_Notes/A. 第一阶段/16_端口隔离.md
2024-08-29 08:54:54 +08:00

2.5 KiB
Raw Blame History

端口隔离

一、端口隔离概述

  1. 端口隔离的作用采用端口隔离功能可以实现同一VLAN内端口之间的隔离。
  2. 如何实现端口隔离功能:只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。
  3. 端口隔离的优势节约了VLAN提供了更安全、更灵活的组网方案

二、端口隔离的特点

  • 隔离组的接口和其他接口之间不隔离
  • 不同端口隔离组的接口之间不隔离
  • 端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能

同一设备同一隔离组内的主机之间互相隔离

三、端口隔离实验

image-20240828195947885

  • 需求

    • PC1/2/3/4都属于同一个 VLAN 100 -IP地址所在网段为 192.168.100.0/24网关地址为 192.168.100.254
    • PC1和PC2不能通信但是都可以访问 PC3和PC4 -所有的PC都可以访问 Server1
  • 配置步骤

    • 第一步配置PC的IP地址掩码网关
    • 第二步创建vlan接口加入vlan -在交换机中创建vlan100 -交换机所有的接口都设置为access 模式并加入vlan100
    • 第三步:配置端口隔离 -在交换机g0/0/1 和g0/0/2 接口下开启端口隔离功能将2个接口加入端口隔离组1
    • 第四步配置R1路由器的接口IP地址3
    • 第五步:验证与测试
  • 配置命令

    • 第一步配置PC的IP地址、掩码、网关

    • 第二步创建vlan接口加入vlan

      • SW1配置

        [SW1]vlan 100
        [SW1-vlan100]quit
        [SW1]port-group group-member g0/0/1 to g0/0/5
        [SW1-port-group]port link-type access
        [SW1-port-group]port default vlan 100
        
    • 第三步:配置端口隔离

      • SW1配置

        [SW1]port-group group-member g0/0/1 g0/0/2
        [SW1-port-group]port-isolate enable group 1
        
    • 第四步配置R1路由器的接口IP地址

      • R1配置

        [R1]int g0/0/1
        [R1-GigabitEthernet0/0/1]ip add 192.168.88.254 24
        [R1-GigabitEthernet0/0/1]int g0/0/0
        [R1-GigabitEthernet0/0/0]ip add 192.168.100.254 24
        
    • 第五步:验证与测试

      PC1 ping  PC2  不通
      PC1  ping  PC3/4  都通
      PC2  ping  PC3/4  都通
      所有的PC  ping  server1 都通
      
      [SW1]display port-isolate group all   //查看端口隔离配置