在Cisco交换机上实现隔离访问

现在网络安全要求也越来越高了,一个局域网有时候也希望能够做到互相不能访问。我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求。    在cisco 低端交换机中的实现方法:  1.通过端口保护(Switchitchport protected)来实现的。  2.通过PVLAN(private vlan 私有vlan)来实现.  主要操作如下:  相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式:  Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口  Switch(config-if-range)#Switchitchport protected #开启端口保护  ok...到此为止,在交换机的每个接口启用端口保护,目的达到.     由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。  主要操作如下:  首先建立second Vlan 2个  Switch(config)#vlan 101  Switch(config-vlan)#private-vlan community  ###建立vlan101 并指定此vlan为公共vlan  Switch(config)vlan 102  Switch(config-vlan)private-vlan isolated  ###建立vlan102 并指定此vlan为隔离vlan  Switch(config)vlan 200  Switch(config-vlan)private-vlan primary  Switch(config-vlan)private-vlan association 101  Switch(config-vlan)private-vlan association add 102  ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan  Switch(config)#int vlan 200  Switch(config-if)#private-vlan mapping 101,102  ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信  Switch(config)#int f3/1  Switch(config-if)#Switchitchport private-vlan host-association 200 102  Switch(config-if)#Switchitchport private-vlan mapping 200 102  Switch(config-if)#Switchitchport mode private-vlan host  ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan  至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信。     注:Cisco网站上的配置实例好像不能按照此方式使用,只是启用隔离而不能与本vlan的网关通信。按照Cisco网站上的配置,private vlan不能up。如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为 second vlan。 文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 在Cisco交换机上实现隔离访问

    现在网络安全要求也越来越高了,一个局域网有时候也希望能够做到互相不能访问.我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求.   在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的. 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 -

  • 如何在交换机上配置VLAN

    我们知道,传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法.在CSMA / CD 网络中,节点可以在它们有数据需要发送的任何时候使用网络.在节点传输数据之前,它进行"监听"以了解网络是否很繁忙.如果不是,则节点开始传送数据.如果网络正在使用,则节点等待.如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突.在发送数据时,它如果使用广播地址,那么在此网段上的所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播

  • 网络常见故障问答

    网络常见故障问答(一) 1 局域网通过DDN互联,可以不用路由器吗? 实际上,是可以的,但是你不可能使用微机自己的COM口,串口是跑异步通信的,你使用DDN/DTU用的是同步信号,所以不行,需要单独购买接口卡(支持DDN)的,IP协议的,并且需要管理软件. DDN线路可以是同步的,我都申请过N次了:DTU的A/B口也是同步/异步可选的,这由网管来设. 做的广域网当中,就有利用异步DDN线路通过DTU接到计算机串口上(一般来 ,计算机串口最大支持115.2K的异步速率),再通过NT的NULL MO

  • Linux上搭载Nginx负载均衡配置使用案例详解

    目录 1,这里我们来说下很重要的负载均衡, 那么什么是负载均衡呢? 2, 负载均衡的种类 3, 这里我们只来说Nginx(其他的大家有兴趣可以自行查阅相关文档) 4, 创建两台Nginx服务器 5, 搭建Nginx 搭建Keepalived:(Keepalived需要依赖openssl) 1,这里我们来说下很重要的负载均衡, 那么什么是负载均衡呢? 由于目前现有网络的各个核心部分随着业务量的提高,访问量和数据流量的快速增长,其处理能力和计算强度也相应地增大,使得单一的服务器设备根本无法承担.在此

  • Cisco网络设备访问安全基础

    为了保护他们的Cisco 网络,许多管理员开始忙于什么样的流量可以被允许通过网络设备,怎样限制邮件路由升级和其他路由器交换的唯一信息.访问控制列表(ACLs)通常可以相当简单地解决这些问题.网络设备的安全对任何联网的环境都很重要,为解决这个问题,Cisco提供了许多可供选择的方法.在本文中,我将介绍登录安全的基本配置.还将介绍怎样使用基于用户的登录配置来使得基本配置更加安全,证明怎样监视配置活动和对你的路由器的连接.一旦你明白了这些基本的配置,你可以在其上建立更多的Cisco高级特性. 基本登录

  • Cisco路由器和H3C交换设备ARP病毒快速解决办法

    Cisco交换机: 在中心交换机上show logging 发现如下日志 Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b84.189e:说明有ARP病毒, 2.执行conf t,mac-address static mac地址 vlan id drop:  3.对有ARP病毒的主机进行了处理,然后在中心交换机上执行 no mac-address st

  • 交换技术攻略网络交换机配置技巧中

    3.交换机的基本配置 进入配置界面后,如果是第一次配置,则首先要进行的就是IP地址配置,这主要是为后面进行远程配置而准备. IP地址配置方法如下: 在前面所出现的配置界面"Enter Selection:"后中输入"I"字母,然后单击回车键,则出现如下配置信息: The IP Configuration Menu appears. Catalyst 1900 - IP Configuration Ethernet Address:00-E0-1E-7E-B4-40

  • Cisco路由器安全配置必用10条命令

    当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条命令列表. 当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,有一些东西是你在每台新的Cisco路由器上都应该配置的. 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的"正确"配置每台路由器的命令. 这是我认为你应该在每台路由

  • Cisco Catalyst 6500为何一统思科

    注:网络升级不能仅仅关注在性能的提升,因为速度给IT部门顶多带来一时的快感--思科的IT部门在升级局域网时更多考虑了其他因素,比如管理.维护.备件-- 在很多情况下,思科都是首先设法解决自己所遇到的困难,设计出相应的解决方案.在思科IT团队对这些解决方案进行了测试和部署之后,思科才会将它们用于客户的网络.过去,在需要扩建网络时,思科IT团队都会安装当时最合适的--往往也是最新的--设备.通常,这些设备不仅对于客户来说是全新的,  甚至对于IT团队来说也是如此.随着时间的发展,位于圣何塞的思科总部

  • 浅谈千兆交换路由器的虚拟路由集群技术

    一.引言: 当前,IP已经成为大部分骨干网络产品的路由协议.在部分网络环境,用户对网络的要求是很高的,任何停工和储运损耗都会对用户造成严重影响.例如: 1.Internet服务提供商提供Web主机设备,为了使得用户的Web服务器对公众总是有效的,必须保证用户99.9999%的正常运行时间. 2.过程控制应用必须能够适时访问它的控制的系统,否则可能会发生结果损失严重的控制: 3.有时,运行在IP主机上的应用会超时,如果业务运行对网络应用要求较高,这种超时会带来很坏影响. 越来越多的IP主机使用DH

随机推荐