华为设备上的安全技术总结之arp和端口隔离

安全技术4：arp

ARP(Address Resolution Protocol，地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后，这个节点会收到确认 其物理地址的应答，这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用，以获得它的逻辑IP地址。

安全技术5：端口隔离

端口隔离是为了实现报文之间的隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前有些设备只支持一个隔离组（以下简称单隔离组），由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。有些设备支持多个隔离组（以下简称多隔离组），用户可以手工配置。不同设备支持的隔离组数不同，请以设备实际情况为准。

隔离组内可以加入的端口数量没有限制。

端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口，只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过，其它情况的端口二层数据是相互隔离的。对于属于同一VLAN的端口，隔离组内、外端口的二层数据互通的情况。

现在在二层和三层交换机上有不同的支持技术

【实验目的】

在二层交换机上实现端口的隔离实现报文的隔离

【实验拓扑】

【实验配置】

交换机

[Quidway]dis cu

#

sysname Quidway

#

radius scheme system

#

domain system

#

vlan 1

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#

interface Ethernet1/0/9

#

interface Ethernet1/0/10

port isolate

#

interface Ethernet1/0/11

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15

#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#

interface Ethernet1/0/20

port isolate

#

interface Ethernet1/0/21

#

interface Ethernet1/0/22

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

#

interface NULL0

#

user-interface aux 0

user-interface vty 0 4

#

return

测试一

【实验测试】

测试一

测试二

更改端口的链接口

【实验目的】

在三层交换机上实现端口的隔离实现报文的隔离

【实验拓扑】

【实验配置】

Quidway>dis cu

#

sysname Quidway

#

radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

domain system

radius-scheme system

access-limit disable

state active

idle-cut disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key huawei

#

am enable

#

vlan 1

#

interface Aux0/0

#

interface Ethernet0/1

#

interface Ethernet0/2

#

interface Ethernet0/3

#

interface Ethernet0/4

#

interface Ethernet0/5

#

interface Ethernet0/6

#

interface Ethernet0/7

#

interface Ethernet0/8

#

interface Ethernet0/9

#

interface Ethernet0/10

am isolate Ethernet0/20

#

interface Ethernet0/11

#

interface Ethernet0/12

#

interface Ethernet0/13

#

interface Ethernet0/14

#

interface Ethernet0/15

#

interface Ethernet0/16

#

interface Ethernet0/17

#

interface Ethernet0/18

#

interface Ethernet0/19

#

interface Ethernet0/20

am isolate Ethernet0/10

#

interface Ethernet0/21

#

interface Ethernet0/22

#

interface Ethernet0/23

#

interface Ethernet0/24

#

interface NULL0

#

user-interface aux 0

user-interface vty 0 4

#

return

【实验测试】

测试一

测试二

更改链接的端口号