華為設(shè)備上的安全技術(shù)總結(jié)之a(chǎn)rp和端口隔離

安全技術(shù)4：arp

ARP(Address Resolution Protocol，地址解析協(xié)議)是獲取物理地址的一個(gè)TCP/IP協(xié)議。某節(jié)點(diǎn)的IP地址的ARP請求被廣播到網(wǎng)絡(luò)上后，這個(gè)節(jié)點(diǎn)會收到確認(rèn) 其物理地址的應(yīng)答，這樣的數(shù)據(jù)包才能被傳送出去。RARP(逆向ARP)經(jīng)常在無盤工作站上使用，以獲得它的邏輯IP地址。

安全技術(shù)5：端口隔離

端口隔離是為了實(shí)現(xiàn)報(bào)文之間的隔離，可以將不同的端口加入不同的VLAN，但會浪費(fèi)有限的VLAN資源。采用端口隔離特性，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。

    目前有些設(shè)備只支持一個(gè)隔離組（以下簡稱單隔離組），由系統(tǒng)自動創(chuàng)建隔離組1，用戶不可刪除該隔離組或創(chuàng)建其它的隔離組。有些設(shè)備支持多個(gè)隔離組（以下簡稱多隔離組），用戶可以手工配置。不同設(shè)備支持的隔離組數(shù)不同，請以設(shè)備實(shí)際情況為準(zhǔn)。

隔離組內(nèi)可以加入的端口數(shù)量沒有限制。

    端口隔離特性與端口所屬的VLAN無關(guān)。對于屬于不同VLAN的端口，只有同一個(gè)隔離組的普通端口到上行端口的二層報(bào)文可以單向通過，其它情況的端口二層數(shù)據(jù)是相互隔離的。對于屬于同一VLAN的端口，隔離組內(nèi)、外端口的二層數(shù)據(jù)互通的情況。

現(xiàn)在在二層和三層交換機(jī)上有不同的支持技術(shù)

 【實(shí)驗(yàn)?zāi)康摹?/p>

 在二層交換機(jī)上實(shí)現(xiàn)端口的隔離實(shí)現(xiàn)報(bào)文的隔離

 【實(shí)驗(yàn)拓?fù)洹?/p>

【實(shí)驗(yàn)配置】

交換機(jī)

[Quidway]dis cu

#

sysname Quidway

#

radius scheme system

#

domain system

#

vlan 1

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#

interface Ethernet1/0/9

#

interface Ethernet1/0/10

port isolate

#

interface Ethernet1/0/11

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15

#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#

interface Ethernet1/0/20

port isolate

#

interface Ethernet1/0/21

#

interface Ethernet1/0/22

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

#

interface NULL0

#

user-interface aux 0

user-interface vty 0 4

#

return

測試一

【實(shí)驗(yàn)測試】

測試一

測試二

更改端口的鏈接口

【實(shí)驗(yàn)?zāi)康摹?/p>

 在三層交換機(jī)上實(shí)現(xiàn)端口的隔離實(shí)現(xiàn)報(bào)文的隔離

 【實(shí)驗(yàn)拓?fù)洹?/p>

【實(shí)驗(yàn)配置】

Quidway>dis cu

#

sysname Quidway

#

radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

domain system

radius-scheme system

access-limit disable

state active

idle-cut disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key huawei

#

am enable

#

vlan 1

#

interface Aux0/0

#

interface Ethernet0/1

#

interface Ethernet0/2

#

interface Ethernet0/3

#

interface Ethernet0/4

#

interface Ethernet0/5

#

interface Ethernet0/6

#

interface Ethernet0/7

#

interface Ethernet0/8

#

interface Ethernet0/9

#

interface Ethernet0/10

am isolate Ethernet0/20

#

interface Ethernet0/11

#

interface Ethernet0/12

#

interface Ethernet0/13

#

interface Ethernet0/14

#

interface Ethernet0/15

#

interface Ethernet0/16

#

interface Ethernet0/17

#

interface Ethernet0/18

#

interface Ethernet0/19

#

interface Ethernet0/20

am isolate Ethernet0/10

#

interface Ethernet0/21

#

interface Ethernet0/22

#

interface Ethernet0/23

#

interface Ethernet0/24

#

interface NULL0

#

user-interface aux 0

user-interface vty 0 4

#

return

【實(shí)驗(yàn)測試】

測試一

測試二

更改鏈接的端口號