[Todo acerca de switches] 11 Configuración de Interfaz - Aislamiento de puerto

195 0 0 0

El capitán David no sabe cómo completar la tarea de garantizar la seguridad de la información de la carpa del general. El capitán Jack le recuerda el segundo consejo del general William. Abren la bolsa amarilla y encuentran el segundo consejo: la seguridad de la información es de gran importancia y solo se puede garantizar a través del aislamiento.

El capitán David está desconcertado, "Jack, ¿sabes lo que significa este consejo?"

El capitán Jack sonríe: "No se preocupe. Déjeme explicarle la sugerencia. La siguiente figura muestra la distribución de la tienda de campaña de nuestro ejército.
 

David, la tienda de campaña de nuestro general, la tienda de soldados y la tienda de logística están en la misma VLAN y en el mismo segmento de red. Por defecto, las tres carpas pueden comunicarse. El general William tiene dos requisitos. Primero, la tienda del general y la tienda de los soldados no pueden comunicarse. Segundo, la carpa logística y la carpa de soldados pueden comunicarse, la carpa del general puede acceder a la carpa logística, pero la carpa logística no puede acceder a la carpa del general. Debe cumplir los requisitos sin cambiar la planificación actual del segmento de red y la planificación de VLAN.

¿Cómo completar la tarea?

Necesitamos usar la función de aislamiento de puerto. Definitivamente puedes completar la tarea usando esta función. El general William te alabará entonces ".

El Capitán Jack se ríe alegremente.

   El capitán David finge estar enojado: "Jack, deja de reír, dime cómo configurar el aislamiento del puerto".

 

"OK. Permítame explicarle primero el grupo de aislamiento de puertos. Los puertos de switch se pueden agregar a los grupos de aislamiento de puertos. Los puertos en el mismo grupo de aislamiento de puertos están aislados. Los puertos en diferentes grupos de aislamiento de puertos no están aislados. Es fácil de completar General La tarea de William. Como se muestra en la siguiente figura, agregue GE0 / 0/1 y GE0 / 0/2 al mismo grupo de aislamiento de puertos. No agregue GE0 / 0/3 al grupo de aislamiento de puertos ni a otro grupo de aislamiento de puertos .


La configuración es como la siguiente:


<Huawei> system-view

[Huawei] sysname Switch

[Switch] interface gigabitEthernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 10

[Switch-GigabitEthernet0/0/1] port-isolate enable group 5  // Add GE0/0/1 to port isolation group 5.

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitEthernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 10

[Switch-GigabitEthernet0/0/2] port-isolate enable group 5  // Add GE0/0/2 to port isolation group 5.

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 10    // Do not add GE0/0/3 to any port isolation group.

[Switch-GigabitEthernet0/0/3] quit

 

Una vez completada la configuración, GE0 / 0/1 y GE0 / 0/2 se agregan al mismo grupo de aislamiento de puertos, y GE0 / 0/3 no se encuentra en ningún grupo de aislamiento de puertos. De esta manera, la tienda de campaña del general y la tienda de soldados no pueden comunicarse, la tienda de campaña y la logística del general pueden comunicarse, y la tienda de campaña y la logística de los soldados pueden comunicarse ".

FAQ 1: ¿Cómo ver la configuración de los grupos de aislamiento de puertos?

Puede ejecutar el grupo de aislamiento de puerto de pantalla para ver la configuración de los grupos de aislamiento de puertos.

 

El capitán David está contento, pero aún tiene una pregunta: "Jack, el general William exige que la tienda de campaña del general pueda acceder a la tienda de logística, pero la tienda de logística no puede acceder a la tienda de campaña del general. ¿Se puede usar el aislamiento del puerto para cumplir con el requisito?"

Captain Jack sonríe: "El aislamiento de puertos es una función poderosa. Además del grupo de aislamiento de puertos, también puede usar el aislamiento unidireccional para resolver el problema".

El capitán David está lleno de dudas: "¿Qué es el aislamiento unidireccional? ¿Es tan poderoso?"

Captain Jack sonríe: "El aislamiento unidireccional se usa para aislar datos unidireccionalmente. Por ejemplo, si la interfaz A está aislada de la interfaz B de manera unidireccional, los paquetes enviados desde la interfaz A no pueden alcanzar la interfaz B, pero los paquetes enviados desde la interfaz B pueden alcanzar la interfaz A. En general El segundo requisito de William, la tienda general, puede acceder a la tienda logística, pero la logística no puede acceder a la tienda general. Podemos usar el aislamiento unidireccional para cumplir el requisito. Como se muestra en la siguiente figura, configure el aislamiento unidireccional en GE0 / 0/3 para aislelo de GE0 / 0/1 de manera unidireccional. Esta configuración garantiza que los paquetes enviados desde GE0 / 0/3 no puedan llegar a GE0 / 0/1, pero los paquetes enviados desde GE0 / 0/1 pueden alcanzar GE0 / 0/3. , la tienda del general 

puede acceder a la tienda logística, pero la tienda logística no puede acceder a la tienda general. 

La configuración es como la siguiente:

 

[Switch] interface GigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1   // Isolate GE0/0/3 from GE0/0/1 unidirectionally.

[Switch-GigabitEthernet0/0/3] quit

 

La configuración de aislamiento unidireccional está completa. ¡Qué simple es! "

Con el segundo consejo del general William, el capitán David configura fácilmente el aislamiento del puerto en el interruptor. La tienda del general y la tienda de los soldados no pueden comunicarse, y la tienda logística no puede acceder a la tienda del general.

 

El capitán David cree que el general William definitivamente lo elogiará. Sin embargo, el general William le dice: "David, GE0 / 0/1 y GE0 / 0/2 están aislados en la Capa 2. Los paquetes ARP no se pueden transmitir de manera transparente entre las dos interfaces. Sin embargo, la tienda del general y la tienda de los soldados todavía se pueden usar la puerta de enlace para comunicarse en la Capa 3 utilizando el proxy ARP intra-VLAN. Es decir, las dos tiendas están aisladas en la Capa 2 pero no están aisladas en la Capa 3 ".

El capitán David está un poco molesto, "General William, los datos están aislados. ¿Por qué nos debe importar el aislamiento de la Capa 2 y el aislamiento de la Capa 3? No puedo encontrar ninguna diferencia entre ellos".

El general William dice: "Los hechos hablan por sí mismos. Hagamos un experimento. Comprenderás la diferencia".

El procedimiento del experimento es el siguiente:

Paso 1

 

Como se muestra en la siguiente figura, PC1 está en la tienda general y PC2 está en la tienda de los soldados. Agregue PC1 y PC2 al mismo grupo de aislamiento de puerto. PC1 y PC2 no pueden hacer ping entre sí, lo que indica que la función de aislamiento de puerto tiene efecto.

Cuando hace ping a PC2 desde PC1, capture los paquetes que pasan a través de GE0 / 0/1 y GE0 / 0/2 en el switch.

 La siguiente figura muestra información sobre los paquetes capturados en GE0 / 0/1.
 

La información de captura de paquetes muestra que PC1 no recibe paquetes de respuesta ARP de PC2 después de enviar paquetes de solicitud ARP (marcados en el cuadro verde).

 La siguiente figura muestra información sobre los paquetes capturados en GE0 / 0/2.

  

La información de captura de paquetes muestra que PC2 no recibe paquetes de solicitud ARP de PC1.

Conclusión: La información de captura de paquetes en GE0 / 0/1 y GE0 / 0/2 muestra que el Switch no transmite de forma transparente los paquetes de solicitud ARP de PC1 a PC2. Como resultado, PC1 y PC2 no pueden aprender las entradas ARP entre sí, y no pueden comunicarse.

Paso 2

Asigne la dirección IP 10.10.10.250/24 a VLANIF 10, use esta dirección IP como la dirección de la puerta de enlace para PC1 y PC2, y habilite ARP de proxy dentro de VLAN en VLANIF 10. La configuración es la siguiente:

 

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.10.10.250 24

[Switch-Vlanif10] arp-proxy inner-sub-vlan-proxy enable   // Enable intra-VLAN proxy ARP on VLANIF 10.

[Switch-Vlanif10] quit

 

Una vez completada la configuración, PC1 y PC2 pueden hacer ping entre sí, lo que indica que la función de aislamiento del puerto no es válida. ¿Que pasó? Vamos a capturar paquetes y descubrir qué está pasando.


 1. VLANIF 10 envía paquetes de solicitud ARP (marcados con la línea amarilla) para obtener la dirección MAC de PC2.

2. VLANIF 10 recibe paquetes de respuesta ARP de PC2 y obtiene la dirección MAC de PC2 (marcada con la línea azul).

3. VLANIF 10 envía paquetes de solicitud ARP de PC1 a PC2 (marcados con la línea verde).

Conclusión: la información de captura de paquetes en GE0 / 0/1 y GE0 / 0/2 muestra que los paquetes de solicitud de ping de PC1 se envían a VLANIF 10 para reenvío de capa 3 en lugar de reenvío de capa 2. Los paquetes de respuesta de ping enviados desde PC2 a PC1 también se envían a la capa 3, que no se menciona aquí.

El capitán David dice: "Wow, PC1 y PC2 se comunican en la Capa 3. General William, ¿cómo podemos aislar la PC1 y la PC2 en la Capa 2 y la Capa 3?"

El general William sonríe: "Es fácil. Solo necesitamos ejecutar el comando de modo de aislamiento de puerto en la vista del sistema para aislarlos en la Capa 2 y la Capa 3. Vamos a realizar otro experimento".

 

El procedimiento del experimento es el siguiente:

   Paso 1 Conserve la configuración ARP del proxy dentro de la VLAN en VLANIF 10 y ejecute el comando de modo de aislamiento de puerto en la vista del sistema.

[Switch] port-isolate mode all   // Set the port isolation mode to isolation at both Layer 2 and Layer 3.

 

Paso 2 Configure PC1 y PC2 para hacer ping entre sí. No pueden hacer ping entre sí.

Captura los paquetes a *** yze por qué falla el ping.

 La siguiente figura muestra información sobre los paquetes capturados en GE0 / 0/1.

 La información de captura de paquetes muestra que la PC1 envía paquetes de solicitud ARP y recibe paquetes de respuesta ARP de VLANIF 10. Los paquetes de solicitud de ping de PC1 se envían a VLANIF 10 para el reenvío de capa 3.

 La siguiente figura muestra información sobre los paquetes capturados en GE0 / 0/2.

 La información de captura de paquetes muestra que VLANIF 10 no envía paquetes de solicitud de ARP para obtener la dirección MAC de PC2 ni reenvía paquetes de solicitud de ARP de PC1 a PC2.

Conclusión: VLANIF 10 no reenvía paquetes de solicitud ARP desde PC1. Como resultado, PC1 y PC2 no pueden comunicarse en la Capa 3.

----Fin

El general William dice: "David, el comando hace que el aislamiento del puerto tenga efecto tanto en la Capa 2 como en la Capa 3. ¡Qué fácil es!"

El capitán David está convencido y dice: "¡General William, usted es increíble! Pero todavía tengo otra pregunta. Configuramos tantos comandos de aislamiento de puertos en el Switch. Si no necesitamos utilizar la función de aislamiento de puertos en el futuro, tómenos mucho tiempo para eliminar todos estos comandos uno por uno. ¿Podemos eliminar fácilmente todos los comandos? "

El general William elogia al capitán David: "Esta es una buena pregunta. Puede ejecutar el comando clear configuration port-isolate para borrar todas las configuraciones de aislamiento de puertos en el Switch, incluido el grupo de aislamiento de puertos, el aislamiento unidireccional y el modo de aislamiento. David, el claro El comando de configuración del puerto de aislamiento borra todas las configuraciones de muchos comandos y puede afectar a otros servicios. Por lo tanto, debe tener cuidado al decidir ejecutar este comando ".

El capitán David se ríe: "General William, no se preocupe. Sabe que soy una persona cuidadosa".

El general William sonríe: "David, realmente haces un gran progreso. Nuestro ejército compra más Switches Huawei con diferentes modelos y rendimiento de transmisión. Estos Switches deben implementarse en diferentes cuarteles y conectarse al Switch existente. Las interfaces del Switch conectado deben usar los mismos valores de parámetros para asegurar una transmisión de datos adecuada. David, ¿sabes cómo configurar los Switches? "

El capitán David no tiene ni idea.

El Capitán Jack viene y dice: "David, ¿te olvidaste que el General William nos da tres consejos?"

El capitán David se ríe, "Dame el tercer consejo rápidamente".

¿Quieres saber qué pasa? Nos vemos en el próximo episodio.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje