- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-安全
本章节下载: 07-安全 (238.91 KB)
为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
目前:
· 设备只支持一个隔离组(以下简称单隔离组),由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。
· 隔离组内可以加入的端口数量没有限制。
对于属于不同VLAN的端口,二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内的端口和隔离组外端口二层流量双向互通。
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“端口设置”页签,进入如下图所示的页面。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
设置类型 |
设置端口加入到隔离组后的端口类型 · 隔离口:表示将要加入的端口作为隔离组中的普通端口 · 上行口:表示将要加入的端口作为隔离组中的上行端口
本系列交换机不支持配置上行口(Uplink port) |
|
选择端口 |
设置要加入到隔离组的端口 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 |
· 小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连。
· 设备通过GigabitEthernet1/0/1端口与外部网络相连。
· GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图1-2 端口隔离组配置组网图
(1) 配置GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4为隔离组的普通端口。
步骤1:在导航栏中选择“安全 > 端口隔离组”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如下图所示。
· 选中设置类型“隔离口”前的单选按钮。
· 在面板示意图上选中端口“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”。
图1-3 配置隔离组的普通端口
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(2) 查看隔离组的信息。
步骤1:单击“显示”页签。
步骤2:查看到隔离组1中的隔离口有“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”,如下图所示。
图1-4 查看隔离组的信息
授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。
(1) 在导航栏中选择“安全 > 授权IP”。
(2) 单击“设置”页签,进入如下图所示的页面。
(3) 配置授权IP,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表2-1 授权IP的详细配置
|
配置项 |
说明 |
|
|
Telnet |
IPv4 ACL |
设置Telnet服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
|
IPv6 ACL |
设置Telnet服务与IPv6 ACL关联 可选的IPv6 ACL可在“QoS > ACL IPv6”中配置 |
|
|
Web(HTTP) |
IPv4 ACL |
设置HTTP服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
如下图所示,配置Switch实现不允许Host A通过Telnet和HTTP服务访问Switch,而Host B的访问则不进行限制。
图2-2 授权IP配置组网图
(1) 创建ACL。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签,如下图所示。
图2-3 创建ACL
步骤3:输入访问控制列表ID为“2001”。
步骤4:单击<应用>按钮完成操作。
(2) 配置仅允许Host B访问的规则。
步骤1:单击“基本配置”页签。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“2001”。
· 选择操作为“允许”。
· 选中“源IP地址”前的复选框,输入源IP地址为“10.1.1.3”。
· 输入源地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
图2-4 配置仅允许Host B访问的规则
(3) 配置授权IP。
步骤1:在导航栏中选择“安全 > 授权IP”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 在“Telnet”中选择IPv4 ACL为“2001”。
· 在“Web(HTTP)”中选择IPv4 ACL为“2001”。
步骤4:单击<应用>按钮完成操作。
端口发生环回是指接口发出去的报文又通过该端口回到设备,环回的存在可能导致广播风暴。远端环回检测就是检测设备的端口是否有环回存在。
当用户开启以太网端口的远端环回检测功能后,系统会定时检测端口是否存在环回。如果检测到端口存在环回,系统会将该端口设置为处于远端环回检测受控状态。
· 对于Access端口,如果系统检测到端口存在环回,则阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。
· 对于Trunk端口和Hybrid端口,如果系统检测到端口存在环回,则向终端上报Trap信息。当端口上的还同时开启了阻塞端口转发功能时,将阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。
远端环回检测配置的推荐步骤如下表所示。
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 缺省情况下,全局的远端环回检测功能处于关闭状态 |
只有在全局和端口都开启远端环回检测功能,该端口的远端环回检测功能才生效 |
|
|
2 |
必选 缺省情况下,端口的远端环回检测功能处于关闭状态 |
||
(1) 在导航栏中选择“安全 > 远端环回检测”,进入如下图所示的页面。
(2) 在“系统环回检测设置”中可以显示和配置全局的远端环回检测功能信息。配置全局远端环回检测功能,详细配置如下表所示。
(3) 在“系统环回检测设置”中单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
开启环回检测 |
设置是否开启全局的远端环回检测功能 |
|
时间间隔 |
设置系统进行远端环回检测的时间间隔 |
(1) 在导航栏中选择“安全 > 远端环回检测”,进入如图3-1所示的页面。
(2) 在“端口环回检测”中可以显示和配置端口的远端环回检测功能参数信息。配置端口远端环回检测功能,详细配置如下表所示。
(3) 在“端口环回检测”中单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
环回检测 |
设置是否开启端口的远端环回检测功能 |
|
阻塞端口转发 |
设置当系统检测到Trunk端口或Hybrid端口存在环回时,是否开启阻塞端口转发数据报文的功能
此配置项只对Trunk端口和Hybrid端口可配 |
|
按VLAN检测 |
设置是否开启在Trunk端口和Hybrid端口所属的所有VLAN内进行环回监测的功能 如果设置为“关闭”,则系统只在Trunk端口和Hybrid端口所属的缺省VLAN内进行环回监测
此配置项只对Trunk端口和Hybrid端口可配 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
