Loading... <h2>实训目的</h2><p>· 掌握配置端口保护。</p><h2>实训背景</h2><p>保护端口(Protected Port)。在某些场景中,要求用户之间禁止互访,也要防止端口广播风暴。可以将某些端口设置为保护端口,保护口之间互相无法通讯,保护口与非保护口之间可以正常通讯。</p><p>保护口有两种模式,一种是阻断保护口之间的二层交换,但允许保护口之间进行路由,第二种是同时阻断保护口之间的二层交换和阻断路由;在两种模式都支持的情况下,第一种模式将作为缺省配置模式。</p><p>端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等。端口保护推荐交换机每个端口接一个用户,这样才能基于端口进行精确访问控制,对于下联一个HUB再接多个用户的情况,交换机无法阻止HUB下的这些PC互访。</p><p>端口保护的优点是配置简单,缺点是对于48端口的产品(通常是双MAC芯片构成),前24口和后24口之间的端口保护不生效,堆叠设备主机和从机之前也无法生效,如有需求,可使用PVLAN方案来实现。</p><h2>实训拓扑</h2><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1242322378.png" alt="" title="" style=""></p><p>实验所需设备:</p><p>环境:EVE-NG</p><p>设备:3台普通 PC,1台二层交换机</p><p>设备镜像:<img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1338845094.png" alt="" title="" style=""></p><h2>实训步骤</h2><h6>步骤1:基本配置</h6><p>SW1:</p><pre><code>Ruijie>enable Ruijie#configure terminal Ruijie(config)#hostname SW1 SW1(config)#</code></pre><h6>步骤2:全网基本IP地址配置</h6><p>VPC1:</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/3697011873.png" alt="" title="" style=""></p><p>VPC2:</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1435819483.png" alt="" title="" style=""></p><p>VPC3:</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/17876438.png" alt="" title="" style=""></p><h6>步骤3:启动持续ping,观察</h6><p>在PC1上持续ping PC2、PC3</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/3820953567.png" alt="ping 192.168.1.3 –t" title="ping 192.168.1.3 –t" style=""></p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1466951256.png" alt="ping 192.168.1.4 -t" title="ping 192.168.1.4 -t" style=""></p><h6>步骤4:端口保护</h6><pre><code>SW1(config)#interface e0/0 SW1(config-if)#switchport protected //接口开启端口保护 SW1(config-if)#exit SW1(config)#interface e0/1 SW1(config-if)#switchport protected SW1(config-if)#end SW1#</code></pre><pre><code>SW1#show interfaces switchport //查看端口保护是否开启</code></pre><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/626837155.png" alt="" title="" style=""></p><pre><code>SW1(config)#interface e0/0 SW1(config-if)#switchport protected //二层保护 //三层保护在模拟器无法实现 SW1(config-if)#protected-ports route-deny //三层保护</code></pre><h2>重要说明</h2><ol><li>配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯。</li><li>端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现。</li></ol> 最后修改:2022 年 05 月 19 日 © 允许规范转载 赞 1 如果觉得我的文章对你有用,请随意赞赏