Loading... ## 实训目的 · 掌握配置端口保护。 ## 实训背景 保护端口(Protected Port)。在某些场景中,要求用户之间禁止互访,也要防止端口广播风暴。可以将某些端口设置为保护端口,保护口之间互相无法通讯,保护口与非保护口之间可以正常通讯。 保护口有两种模式,一种是阻断保护口之间的二层交换,但允许保护口之间进行路由,第二种是同时阻断保护口之间的二层交换和阻断路由;在两种模式都支持的情况下,第一种模式将作为缺省配置模式。 端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等。端口保护推荐交换机每个端口接一个用户,这样才能基于端口进行精确访问控制,对于下联一个HUB再接多个用户的情况,交换机无法阻止HUB下的这些PC互访。 端口保护的优点是配置简单,缺点是对于48端口的产品(通常是双MAC芯片构成),前24口和后24口之间的端口保护不生效,堆叠设备主机和从机之前也无法生效,如有需求,可使用PVLAN方案来实现。 ## 实训拓扑  实验所需设备: 环境:EVE-NG 设备:3台普通 PC,1台二层交换机 设备镜像: ## 实训步骤 ###### 步骤1:基本配置 SW1: ``` Ruijie>enable Ruijie#configure terminal Ruijie(config)#hostname SW1 SW1(config)# ``` ###### 步骤2:全网基本IP地址配置 VPC1:  VPC2:  VPC3:  ###### 步骤3:启动持续ping,观察 在PC1上持续ping PC2、PC3   ###### 步骤4:端口保护 ``` SW1(config)#interface e0/0 SW1(config-if)#switchport protected //接口开启端口保护 SW1(config-if)#exit SW1(config)#interface e0/1 SW1(config-if)#switchport protected SW1(config-if)#end SW1# ``` ``` SW1#show interfaces switchport //查看端口保护是否开启 ```  ``` SW1(config)#interface e0/0 SW1(config-if)#switchport protected //二层保护 //三层保护在模拟器无法实现 SW1(config-if)#protected-ports route-deny //三层保护 ``` ## 重要说明 1. 配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯。 2. 端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现。 最后修改:2022 年 05 月 19 日 © 允许规范转载 赞 1 如果觉得我的文章对你有用,请随意赞赏