目前使用的隔离技术是使用vlan 来划分区域进行隔离,如果受攻击的话只是者个区域的设备都会被攻击,现在有一个方法在区域隔离的情况下,可以isuo端口进行隔离,就是PC端与PC端无法户型访问,但是他们可以正常访问网络服务
拓扑图如下:
AR1配置
[Huawei]sysname AR1 //修改名称
[AR1]dhcp enable //开启DHCP服务
[AR1]interface GigabitEthernet 0/0/0 //进入接口G0/0/0
[AR1-GigabitEthernet0/0/0]ip address dhcp-alloc //配置IP地址获取模式为自动获取
[AR1]interface GigabitEthernet 0/0/1 //进入接口G0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.60.254 24 //配置IP地址
[AR1-GigabitEthernet0/0/1]dhcp select interface //基于接口分配IP地址
[AR1-GigabitEthernet0/0/1]dhcp server dns-list 114.114.114.114 //配置DNS
[AR1]acl 3000 //创建ACL
[AR1-acl-adv-3000]rule permit ip //允许所有IP可以上网
[AR1]interface GigabitEthernet 0/0/0 //进入接口G0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 3000 //接口绑定策略
以上就是出口路由器的配置,下面查看路由器获取的IP地址
下面查看PC机是否已经获取到IP地址,可以看到没问题
访问百度
可以看到也可以访问百度了,下面查看你PC机与PC机之间的访问
这里可以看到PC机与PC机也是可以正常访问的
下面配置交换机让PC机之间不可以访问
LSW
[Huawei]sysname LSW
[LSW]interface GigabitEthernet 0/0/2 //进入接口G0/0/2
[LSW-GigabitEthernet0/0/2]port-isolate enable //开启端口隔离技术
[LSW]interface GigabitEthernet 0/0/3 //进入接口G0/0/3
[LSW-GigabitEthernet0/0/3]port-isolate enable //开启端口隔离技术
[LSW]interface GigabitEthernet 0/0/4 //进入接口G0/0/4
[LSW-GigabitEthernet0/0/4]port-isolate enable //开启端口隔离技术
上面就是端口隔离技术的配置
下面测试:
PC1访问PC2原先是通的现在不通了
PC1访问百度,这里发发现是没有什么问题的这里端口隔离就创建完成了
注:做端口隔离时,外网接口、服务为器接口不需要做端口隔离,不然访问不了服务器、无法上网,上面端口隔离我是一个接口一个接口进行配置的,可以创建一个接口组来实现快捷,port-group、interface range来实现
觉得有用的帮忙点个小爱心吧!!!
