实训目的

· 掌握配置端口保护。

实训背景

保护端口(Protected Port)。在某些场景中,要求用户之间禁止互访,也要防止端口广播风暴。可以将某些端口设置为保护端口,保护口之间互相无法通讯,保护口与非保护口之间可以正常通讯。

保护口有两种模式,一种是阻断保护口之间的二层交换,但允许保护口之间进行路由,第二种是同时阻断保护口之间的二层交换和阻断路由;在两种模式都支持的情况下,第一种模式将作为缺省配置模式。

端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等。端口保护推荐交换机每个端口接一个用户,这样才能基于端口进行精确访问控制,对于下联一个HUB再接多个用户的情况,交换机无法阻止HUB下的这些PC互访。

端口保护的优点是配置简单,缺点是对于48端口的产品(通常是双MAC芯片构成),前24口和后24口之间的端口保护不生效,堆叠设备主机和从机之前也无法生效,如有需求,可使用PVLAN方案来实现。

实训拓扑

实验所需设备:

环境:EVE-NG

设备:3台普通 PC,1台二层交换机

设备镜像:

实训步骤

步骤1:基本配置

SW1:

Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#hostname SW1
SW1(config)#
步骤2:全网基本IP地址配置

VPC1:

VPC2:

VPC3:

步骤3:启动持续ping,观察

在PC1上持续ping PC2、PC3

ping 192.168.1.3 –t

ping 192.168.1.4 -t

步骤4:端口保护
SW1(config)#interface e0/0
SW1(config-if)#switchport protected   //接口开启端口保护
SW1(config-if)#exit
SW1(config)#interface e0/1
SW1(config-if)#switchport protected
SW1(config-if)#end
SW1#
SW1#show interfaces switchport    //查看端口保护是否开启

SW1(config)#interface e0/0
SW1(config-if)#switchport protected //二层保护

//三层保护在模拟器无法实现
SW1(config-if)#protected-ports route-deny //三层保护

重要说明

  1. 配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯。
  2. 端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现。
最后修改:2022 年 05 月 19 日
如果觉得我的文章对你有用,请随意赞赏