交换机实现端口保护

交换机实现端口保护

现在网络安全要求也越来越高了，一个局域网有时候也希望能够做到互相不能访问。我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求。

　　在cisco 低端交换机中的实现方法:
　　1.通过端口保护(Switchitchport protected)来实现的。
　　2.通过PVLAN(private vlan 私有vlan)来实现.
　　主要操作如下:
　　相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:
　　Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口
　　Switch(config-if-range)#Switchitchport protected #开启端口保护
　　ok...到此为止,在交换机的每个接口启用端口保护,目的达到.
　　
由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。
　　主要操作如下:
　　首先建立second Vlan 2个
　　Switch(config)#vlan 101
　　Switch(config-vlan)#private-vlan community
　　###建立vlan101 并指定此vlan为公共vlan
　　Switch(config)vlan 102
　　Switch(config-vlan)private-vlan isolated
　　###建立vlan102 并指定此vlan为隔离vlan
　　Switch(config)vlan 200
　　Switch(config-vlan)private-vlan primary
　　Switch(config-vlan)private-vlan association 101
　　Switch(config-vlan)private-vlan association add 102
　　###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlan
　　Switch(config)#int vlan 200
　　Switch(config-if)#private-vlan mapping 101,102
　　###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信
　　Switch(config)#int f3/1
　　Switch(config-if)#Switchitchport private-vlan host-association 200 102
　　Switch(config-if)#Switchitchport private-vlan mapping 200 102
　　Switch(config-if)#Switchitchport mode private-vlan host
　　###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan
　　至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信。
　　
注:Cisco网站上的配置实例好像不能按照此方式使用，只是启用隔离而不能与本vlan的网关通信。按照Cisco网站上的配置，private vlan不能up。如果有多个vlan要进行PVLAN配置，second vlan必须要相应的增加，一个vlan只能在private vlan下作为 second vlan。

 

本文来自CSDN博客，转载请标明出处： http://blog.csdn.net/xjb_netboy/archive/2008/02/14/2093081.aspx