锐捷交换机 |
您所在的位置:网站首页 › 锐捷交换机端口启用配置命令在哪里 › 锐捷交换机 |
锐捷交换机
|
目录 应用场景 功能简介 一、组网需求 二、组网拓扑 三、配置要点 四、配置步骤 五、功能验证 应用场景 端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等。端口保护推荐交换机每个端口接一个用户,这样才能基于端口进行精确访问控制,对于下联一个HUB再接多个用户的情况,交换机无法阻止HUB下的这些PC互访。 端口保护的优点是配置简单,缺点是对于48端口的产品(通常是双MAC芯片构成),前24口和后24口之间的端口保护不生效,堆叠设备主机和从机之前也无法生效,如有需求,可使用PVLAN方案来实现。 功能简介端口保护:端口保护是用来保护端口之间的通信,当端口设为保护口之后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯。保护口有两种模式,一种是阻断保护口之间的二层交换,但允许保护口之间进行路由,第二种是同时阻断保护口之间的二层交换和阻断路由;在两种模式都支持的情况下,第一种模式将作为缺省配置模式。 在VSU模式或VSD模式下,端口保护均有效。 一、组网需求拓扑如下,PC1、PC2属于vlan 10,PC3属于vlan 20,需要实现PC1、PC2、PC3之间不能访问,但是它们都能上外网。 二、组网拓扑
1、由于PC1与PC2都属于vlan 10,可以通过配置端口保护来实现同网段之间的访问隔离,注意上联口不要开启。 2、PC3与PC1、PC2属于不同vlan,可以在PC3所连接的端口开启端口保护,并且全局开启路由阻断功能实现不同网段之间路由阻断 四、配置步骤交换机配置: Ruijie#configure terminal Ruijie(config)#vlan 10 Ruijie(config-vlan)#vlan 20 Ruijie(config-vlan)#exit Ruijie(config)#interface vlan 10 Ruijie(config-if-VLAN 10)#ip address 192.168.10.254 255.255.255.0 Ruijie(config-if-VLAN 10)#interface vlan 20 Ruijie(config-if-VLAN 20)#ip address 192.168.20.254 255.255.255.0 Ruijie(config-if-VLAN 20)#exit Ruijie(config)#interface GigabitEthernet 0/1 Ruijie(config-if-GigabitEthernet 0/1)#switchport access vlan 10 Ruijie(config-if-GigabitEthernet 0/1)#switchport protected ------>接口开启端口保护 Ruijie(config-if-GigabitEthernet 0/1)#interface GigabitEthernet 0/2 Ruijie(config-if-GigabitEthernet 0/2)#switchport access vlan 10 Ruijie(config-if-GigabitEthernet 0/2)#switchport protected ------>接口开启端口保护 Ruijie(config-if-GigabitEthernet 0/2)#interface GigabitEthernet 0/3 Ruijie(config-if-GigabitEthernet 0/3)#switchport access vlan 20 Ruijie(config-if-GigabitEthernet 0/3)#switchport protected ------>接口开启端口保护 Ruijie(config-if-GigabitEthernet 0/3)#exit Ruijie(config)#protected-ports route-deny ------>全局开启路由隔离功能,这样配置了端口保护的端口之间就不能进行三层访问,仅部分产品支持。 Ruijie(config)#end Ruijie#wr 重要说明: 1)配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯 2)端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现 五、功能验证1、查看端口配置信息,可以看到端口保护在g0/1-3口是enabled的
2、同时可以验证PC1、PC2、PC3之间是无法ping通的,ARP也无法学习得到 |
【本文地址】
今日新闻 |
推荐新闻 |