配置端口隔离(端口保护)
一、适用场景
配置端口隔离,让两个端口之间相互隔离无法通信;一般是同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离。
保护口和保护口之间无法通信,保护口和非保护口可以正常通信,非保护口之间也可以正常通信。
二、配置步骤
NBS31/32/51/5200/6000/7000系列、S1930系列
1、进入【安全管理】-【端口保护】
注: ①一般将连接服务器和上联的接口设置为非保护口; ②保护口和非保护口:保护口和保护口之间无法通信,保护口和非保护口可以正常通信,非保护口之间也可以正常通信;
2、开启端口保护 方式1:选择对应的接口,将操作开关打开即可
方式2:点击【批量设置】,选择对应的端口,然后点击【确定】即可
NBS18系列、S18系列、NBS5026XG
傻瓜交换机,不支持WEB配置端口隔离。
其他系列
PC1、PC2属于vlan 10,PC3属于vlan 20,需要实现PC1、PC2、PC3之间不能访问,但是它们都能上外网。
配置要点
1、由于PC1与PC2都属于vlan 10,可通过配置端口保护来实现同网段之间访问隔离,注意上联口不要开启。
2、PC3与PC1、PC2属于不同vlan,可以在PC3所连接的端口开启端口保护,并且全局开启路由阻断功能实现不同网段之间路由阻断。
具体配置
Ruijie>en
Ruijie#configure terminal
Ruijie(config)#vlan 10
Ruijie(config-vlan)#vlan 20
Ruijie(config-vlan)#exit
Ruijie(config)#interface vlan 10
Ruijie(config-if-VLAN 10)#ip address 192.168.10.254 255.255.255.0
Ruijie(config-if-VLAN 10)#interface vlan 20
Ruijie(config-if-VLAN 20)#ip address 192.168.20.254 255.255.255.0
Ruijie(config-if-VLAN 20)#exit
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#switchport access vlan 10
Ruijie(config-if-GigabitEthernet 0/1)#switchport protected ------>接口开启端口保护
Ruijie(config-if-GigabitEthernet 0/1)#interface GigabitEthernet 0/2
Ruijie(config-if-GigabitEthernet 0/2)#switchport access vlan 10
Ruijie(config-if-GigabitEthernet 0/2)#switchport protected ------>接口开启端口保护
Ruijie(config-if-GigabitEthernet 0/2)#interface GigabitEthernet 0/3
Ruijie(config-if-GigabitEthernet 0/3)#switchport access vlan 20
Ruijie(config-if-GigabitEthernet 0/3)#switchport protected ------>接口开启端口保护
Ruijie(config-if-GigabitEthernet 0/3)#exit
Ruijie(config)#protected-ports route-deny ------>全局开启路由隔离功能,这样配置了端口保护的端口之间就不能进行三层访问,仅部分产品支持。
Ruijie(config)#end
Ruijie#wr
重要说明
1)配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯
2)端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现
功能验证
1、查看端口配置信息,可以看到端口保护在g0/1-3口是enabled的
2、同时可以验证PC1、PC2、PC3之间是无法ping通的,ARP也无法学习得到
