解读端口隔离
摘要端口隔离技术在ISP宽带接入中已发挥重要作用,而在园区网中应用还不多,由于网络中病毒增多、危害加大,端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况,端口隔离技术在不同厂商、不同层次交换机上不同的实现,具体分析和举例端口隔离技术在园区网中的规划、实施和应用。
关键词端口隔离;交换机
1 引言
在小区宽带接入环境中,个别计算机中毒发包、广播对其它接入计算机都有影响,也会占用带宽,所以ISP在其接入交换机上早就实施了端口隔离技术,隔离技术对网络静化、安全和病毒隔离都有相当良好的作用,应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离,会对一些应用带来不便,所以应用并不是很多。但是随着网络中病毒增多、危害加大,新的难以对付、传播速度又快病毒出现的情况下,端口隔离技术在园区网中应用会越来越多,下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。
2 端口隔离技术综述
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果明显。
3 端口隔离技术的实现
3.1 端口隔离技术在H3C交换机上的实现
system-view 进入系统视图
interface interface-type interface-number 进入以太网端口视图
port isolate 将以太网端口加入到隔离组中
端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。
3.2 端口隔离技术在D-LINK交换机上的实现
config traffic_segmentation [
其中
3.3 端口隔离技术在港湾交换机上的实现
config vcn up
其中
3.4 端口隔离技术在CISCO交换机上的实现
config terminal 进入系统视图
interface interface-type interface-number 进入以太网端口视图
switchport protected 将以太网端口加入到隔离组中
CISCO的端口隔离技术实际是端口保护,起了switchport protected的端口将不会受单播、广播和组播的影响。
4 端口隔离技术的应用
4.1 端口隔离技术在企业网中的应用
图1
图1是典型的小企业的网络结构,外连通过防火墙连接Inernet,内部通过交换机连接服务器、PC机,图中采用H3C交换机,由于病毒等原因公司决定在PC之间采用端口隔离技术,而访问服务器和Inernet要照常。在H3C交换机上连接PC的端口采用端口隔离,配置如下:
system-view 进入系统视图
interface Ethernet 1/0/1 PC-A连接的端口
port isolate
interface Ethernet 1/0/2 PC-B连接的端口
port isolate
interface Ethernet 1/0/3 PC-C连接的端口
port isolate
交换机上服务器和防火墙连接的端口不变。
4.2 端口隔离技术在校园网中的应用
图 2
图2是典型的校园网机房的网络结构,上连核心交换机,二层交换机PC机和教师机,图中采用D-LINK交换机,机房内PC不用相互访问,只需同教师机和通过核心交换机访问校内外资源,配置如下:
config traffic_segmentation 1,24 forward_ list 1-24
config traffic_segmentation 2-23 forward_list 1,24
D-LINK交换机上1号端口连接教师机,24号端口连接核心交换机,2号端口到23号端口连接PC机。
5 结束语
端口隔离技术也有缺点,一是计算机之间共享不能实现;二是隔离只能在一台交换机上实现,不能在堆叠交换机之间实现,如果是堆叠环境,只能改成交换机之间级连。希望厂家能继续开发和增强端口隔离技术,使它能在更多环境下应用。
查询端口的命令
Top、vmstat、w、uptime、 ps 、 free、iostat、sar、mpstat、pmap、 netstat and ss、 iptraf、tcpdump、strace、 /Proc file system、Nagios、Cacti、 KDE System Guard、 Gnome System Monitor https://www.360docs.net/doc/8f2783707.html,stat -a列出所有正在运行程序的端口如下: Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:90 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED https://www.360docs.net/doc/8f2783707.html,stat -ano列出所有正在运行程序的端口及PID 如下: Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:90 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1120 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING 1680 TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING 2880 TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING 1680 TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED 3368 TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED 1680 TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1433 127.0.0.1:1141 ESTABLISHED 2880 TCP 127.0.0.1:1433 127.0.0.1:1143 ESTABLISHED 2880 TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING 3468 UDP 0.0.0.0:445 *:* 4 https://www.360docs.net/doc/8f2783707.html,stat -anb列出所有正在运行程序的端口,PID及使用这个端口的进程( ):
链路聚合与端口隔离命令
第1章链路聚合配置命令 1.1 链路聚合配置命令 1.1.1 display lacp system-id 【命令】 display lacp system-id 【视图】 任意视图 【参数】 无 【描述】 display lacp system-id命令用来显示本端系统的设备ID,包括:系统的LACP协 议优先级与系统MAC地址。 【举例】 # 显示本端系统的设备ID。
to:用来连接两个端口,表示在两个端口之间的所有端口(包含这两个端口)。【描述】 display link-aggregation interface命令用来显示指定端口的链路聚合的详细信 息,其中包括: ●指定端口所在聚合组ID; ●本端的端口的LACP协议优先级、操作Key、LACP协议状态标志; ●对端的设备ID、端口号、端口的LACP协议优先级、操作Key、LACP协议状 态标志; ●LACP协议报文统计信息。 需要注意的是,由于手工聚合组无法获知对端信息,因此对端的各项显示信息均为 0,并不代表对方系统实际信息。此外,对于手工聚合不会显示端口的LACP协议报 文统计信息。 【举例】 # 显示手工聚合组中端口Ethernet1/0/1聚合的详细信息。
cisco 端口隔离 pvlan
在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan 至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信,实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为second vlan。
端口隔离介绍
端口隔离 为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 目前: z集中式设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。 z分布式设备支持多个隔离组,用户可以手工配置。不同设备支持的隔离组数,请以设备实际情况为准。 z隔离组内可以加入的端口数量没有限制。 说明: z如果聚合组内的某个端口已经配置成某隔离组的普通端口,则该聚合组内的其他端口可以以普通端口的身份加入该隔离组,但不能配置成上行端口。 z如果将聚合组内的某个端口配置成某隔离组的上行端口,则该聚合组内的其他端口不能加入该隔离组,且不允许该设备的其他端口加入该聚合组。(聚合组的具体内容请参见“接入分册”中的“链路聚合配置”) 端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内、外端口的二层数据互通的情况,又可以分为以下两种: z支持上行端口的设备,各种类型端口之间二层报文的互通情况如图1所示。 z不支持上行端口的集中式设备,隔离组内的端口和隔离组外端口二层流量双向互通。分布式设备不存在不支持上行端口的情况。
图1支持上行端口的设备同一VLAN内隔离组内、外端口二层报文互通情况 说明: 图中箭头方向表示报文的发送方向。
如何查看本机开放了哪些端口
如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。 1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口,如图1。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口),Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,图中LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。上图中本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了4个组件(RPCRT4.dll、rpcss.dll、svchost.exe、KvWspXP_1.dll)来完成创建工作。如果你发现本机打开了可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改时间,如果发现异常,就可能是中了木马。
2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,如果你上网时启动这类软件,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全。
利用命令查看端口及对应程序
利用命令查看端口及对应程序 利用 netstat 命令查看本机开放端口 netstat 是 windows 自带命令,用于查看系统开放的端口,主要参数只有 -a 和 -n ,前者表示显示所有连接和侦听端口,而后者表示以数字格式显示地址和端口号。 在“ 命令提示符” 中输入“ netstat -an ”, 即可显示本机所有开放端口。 其中 active connections 是指当前本机活动连接, proto 是指连接使用的协议名称 local address 是本地计算机 IP 地址和连接正在使用的端口号 foreign address 是指连接此端口的远程计算机的 IP 地址与端口号 state 则表示 TCP 连接状态 注意如果后面的 UDP 协议有异常连接,则可能有木马正使用端口号,正处于监听状态,如冰河木马的默认监听端口号是 7626 利用 netstat 命令查找打开可疑端口的恶意程序 先用命令提示符 " netstat -ano " 命令显示端口状态,再在结果中找到可疑端口,然后根据其 PID 在输入“ tasklist ” 命令显示中查找其对应程序,就可知道其程序名,进而查明程序的来源,采取适当的措施。 直接查看端口与程序 ( 以上两个命令的结合效果 ) 在命令提示符后输入“ netstat -anb ” 回车,即可显示所有端口及所对应的进程信息,用来查找木马非常方便 用第三方端口查看工具 FPORT fport 是 foundstone 出品的一个用来查看系统所有打开 TCP/IP 和 UDP 端口,及它们对应程序的完整路径, PID 标识,进程名称等信息的小工具
H3C-端口隔离操作
端口隔离目录 目录 第1章端口隔离配置..............................................................................................................1-1 1.1 端口隔离概述.....................................................................................................................1-1 1.2 端口隔离配置.....................................................................................................................1-1 1.3 端口隔离配置显示..............................................................................................................1-2 1.4 端口隔离配置举例..............................................................................................................1-2
第1章端口隔离配置 1.1 端口隔离概述 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔 离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供 了灵活的组网方案。 目前一台设备只支持建立一个隔离组,组内的以太网端口数量没有限制。 说明: z配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。 z端口隔离特性与以太网端口所属的VLAN无关。 1.2 端口隔离配置 通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二 层、三层数据的隔离。 表1-1端口隔离配置 操作命令说明 进入系统视图system-view - 进入以太网端口视图interface interface-type interface-number - 将以太网端口加入到隔离组中port isolate 必选 缺省情况下,隔离组中没有加入 任何以太网端口
华为OLT常用的查看命令
Display location mac-address /通过MAC查询业务流位置 Display ont optical-info 1 all /查询光衰减值 MA5680T(config-if-gopn-0/1)#display port state 0 //查看pon板端口状态 Disp lay interface brief / 带宽利用率 Display port traffic 0 / 查看上行口状态和流量情况 Display port state /查询口的状态 Ping -s 1000 -c 1000 IP / IPping 包 display current-configuration service-port 46 /查看端口配置数据root 默认登陆用户名 admin 默认登陆密码 MA5680T> enable 进入特权模式 MA5680T # config 进入终端配置 MA5680T (config)# switch language-mode 中英文切换 MA5680T (config)#display board 0 /查看所有的单板 0 是框号 MA5680T (config)# interface gpon 0/1 /进入GPON命令模式 1是PON口号 MA5680T(config-if-gpon-0/1)# port 0 ont-auto-find enable MA5680T (config)#display ont autofind all /查看自动发现的ONU(如果存在自动发现的ONU则如下所示) 进入config终端配置下查看命令
常用端口命令以及关闭方法
常用端口命令以及关闭方法 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分 为以下两大类: 1.系统保留端口(从0到1023) 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP,25 对应着SMTP、110对应着POP3等。 2.动态端口(从1024到65535) 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务)。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。
1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP 协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号,Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。 本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了 可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改 时间,如果发现异常,就可能是中了木马。 2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,推荐你上网时启动Tcpview,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全 三、关闭本机不用的端口 默认情况下Windows有很多端口是开放的,一旦你上网,黑客可以通过这些端口连上你的 电脑,因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如TCP 2513、2745、3127、6129 端口), 以及远程服务访问端口3389。关闭的方法是:
查看电脑端口
1)如何查看本机所开端口: 用netstat -a —n命令查看!再state下面有一些英文,我来简单说一下这些英文具体都代表什么 LISTEN:侦听来自远方的TCP端口的连接请求 SYN-SENT:再发送连接请求后等待匹配的连接请求 SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认 ESTABLISHED:代表一个打开的连接 FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN-WAIT-2:从远程TCP等待连接中断请求 CLOSE-WAIT:等待从本地用户发来的连接中断请求 CLOSING:等待远程TCP对连接中断的确认 LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED:没有任何连接状态 2)如何获得一个IP地址的主机名? 利用ping -a ip 命令查看!再第一行的pinging后面的『ip』前面的英文就是对方主机名! 同样道理,利用ping machine_name也可以得到对方的ip 获得一个网站的ip地址的方法是:ping www.***.com 比如想知道sohu的ip,就用ping https://www.360docs.net/doc/8f2783707.html,/来查看就可以了 顺便说一句:如果返回:Reply from *.*.*.*: TTL expired in transit的话,呵呵,代表TTL(生命周期)在传输过程中过期 什么意思呢?我来解释一下! 导致这个问题出现的原因有两个:1)TTL值太小!TTL值小于你和对方主机之间经过的路由器数目。 2)路由器数量太多,经过路由器的数量大于TTL值! 呵呵,其实这两点是一个意思!只不过说法不同而已! 3)如何查看本机的ip地址? 用ipconfig来查看就可以! 也可以再Windows中的开始菜单,运行中输入winipcfg,同样可以看到自己的ip ipconfig命令后面如果加一个参数 /all的话,可以得到更加详细的资料,比如DNS、网关等…… 4)再使用net命令的时候遇到一些错误代码,如何查看对应的错误信息? 用命令 net helpmsg erorr_code来查看就可以了 比如错误代码为:88 则查看命令为:net helpmsg 88 下面有这个错误代码的中文显示! 5)利用telnet连接到对方主机上,想获得一些系统信息,用什么命令? set命令可以很好的完成你所需要收集信息的任务的! 方法:再cmd下直接输入set(telnet对方主机以后,也是直接set就可以了~然后能够得到NNNNN多的
如何查看本机所开端口
如何查看本机所开端口如何获得一个IP地址的主机名 (2007-03-03 14:15:46) 转载▼ 1)如何查看本机所开端口: 用netstat -a —n命令查看!再stat下面有一些英文,我来简单说一下这些英文具体都代表什么 LISTEN:侦听来自远方的TCP端口的连接请求 SYN-SENT:再发送连接请求后等待匹配的连接请求 SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认 ESTABLISHED:代表一个打开的连接 FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN-WAIT-2:从远程TCP等待连接中断请求 CLOSE-WAIT:等待从本地用户发来的连接中断请求 CLOSING:等待远程TCP对连接中断的确认 LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED:没有任何连接状态 2)如何获得一个IP地址的主机名? 利用ping -a ip 命令查看!再第一行的pinging后面的『ip』前面的英文就是对方主机名! 同样道理,利用ping machine_name也可以得到对方的ip 获得一个网站的ip地址的方法是:ping www.***.com
比如想知道sohu的ip,就用ping https://www.360docs.net/doc/8f2783707.html,/来查看就可以了 顺便说一句:如果返回:Reply from *.*.*.*: TTL expired in transit的话,呵呵,代表TTL(生命周期)在传输过程中过期 什么意思呢?我来解释一下! 导致这个问题出现的原因有两个:1)TTL值太小!TTL值小于你和对方主机之间经过的路由器数目。 2)路由器数量太多,经过路由器的数量大于TTL值! 呵呵,其实这两点是一个意思!只不过说法不同而已!
cisco交换机端口隔离的实现方法
现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary
如何查看自己已开的和已经关闭的端口号方法.
查看端口在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。小知识:Netstat命令用法命令格式:Netstat -a -e -n -o -s-an -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP 端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。 -s 表示按协议显示各种连接的统计信息,包括端口号。 -an 查看所有开放的端口关闭/开启端口在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP 服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。关闭端口比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。开启端口如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。端口分类逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 1. 按端口号分布划分(1)知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。(2)动态端口(Dynamic Ports)动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供 该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 2. 按协议类型划分按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP
交换机端口隔离
实验一 实验名称:交换机端口隔离(Port Vlan)。 实验目的:理解Port Vlan的配置。 技术原理:在交换机组成的网络里所有主机都在同一个广播域内,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN (Virtual Local Area Network),是在一个物理网络上划分出来的逻辑网络,这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,即通过VLAN的划分,不同VLAN间不能够直接访问。一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口,这时MAC地址表多了一项VLAN信息。 实现功能:通过划分Port Vlan实现本交换机端口隔离。 实验设备:S2126G一台,主机四台,直连网线四根。 实验拓朴:
实验步骤:1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports
网络端口查看
几个非常强大的命令,我认为作为一名程序员一定要懂这几个命令: https://www.360docs.net/doc/8f2783707.html,stat -a列出所有正在运行程序的端口如下: Active Connections Proto Local Address Foreign Address State TCP0.0.0.0:90 0.0.0.0:0 LISTENING TCP0.0.0.0:135 0.0.0.0:0 LISTENING TCP0.0.0.0:445 0.0.0.0:0 LISTENING TCP0.0.0.0:1110 0.0.0.0:0 LISTENING TCP0.0.0.0:1433 0.0.0.0:0 LISTENING TCP0.0.0.0:8009 0.0.0.0:0 LISTENING TCP0.0.0.0:19780 0.0.0.0:0 LISTENING TCP127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED TCP127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED TCP127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED TCP127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED https://www.360docs.net/doc/8f2783707.html,stat -ano列出所有正在运行程序的端口及PID 如下: Active Connections Proto Local Address Foreign Address State PID TCP0.0.0.0:90 0.0.0.0:0 LISTENING 3468 TCP0.0.0.0:135 0.0.0.0:0 LISTENING 1120 TCP0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP0.0.0.0:1110 0.0.0.0:0 LISTENING 1680 TCP0.0.0.0:1433 0.0.0.0:0 LISTENING 2880 TCP0.0.0.0:8009 0.0.0.0:0 LISTENING 3468 TCP0.0.0.0:19780 0.0.0.0:0 LISTENING 1680 TCP127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED 3368 TCP127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED 1680 TCP127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED 3468 TCP127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED 3468 TCP127.0.0.1:1433 127.0.0.1:1141 ESTABLISHED 2880 TCP127.0.0.1:1433 127.0.0.1:1143 ESTABLISHED 2880 TCP127.0.0.1:8005 0.0.0.0:0 LISTENING 3468 UDP 0.0.0.0:445 *:* 4 https://www.360docs.net/doc/8f2783707.html,stat -anb列出所有正在运行程序的端口,PID及使用这个端口的进程(): Active Connections Proto Local Address Foreign Address State PID TCP0.0.0.0:90 0.0.0.0:0 LISTENING 3468
查看window的端口号命令
查看window的端口号命令 Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。 为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。 查看端口 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP 和UDP连接的端口号及状态。 小知识:Netstat命令用法 命令格式:Netstat -a -e -n -o -s-an -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。 -s 表示按协议显示各种连接的统计信息,包括端口号。 -an 查看所有开放的端口 关闭/开启端口 先介绍一下在Windows中如何关闭/打开端口的简单方法,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。 关闭端口 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。 如何在WinXP/2000/2003下关闭和开放网络端口的详细方法 第一步,点击开始菜单/设置/控制面板/管理工具,双击打开本地安全策略,选中IP 安全策略,在本地计算机,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择创建IP 安全策略(如右图),于是弹出一个向导。在向导中点击下一步按钮,为新的安全策略命名;再按下一步,则显示安全通信请求画面,在画面上把激活默认相应规则左边的钩去掉,点击完成按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在属性对话框中,把使用添加向导左边的钩去掉,然后单击添加按钮添加新的规则,随后弹出新规则属性对话框,在画面上点击添加按钮,弹出IP筛选器列表窗口;在列表中,首先把使用添加向导左边的钩去掉,然后再点击右边的添加按钮添加新的筛选器。 第三步,进入筛选器属性对话框,首先看到的是寻址,源地址选任何IP 地址,目标地址选我的IP 地址;点击协议选项卡,在选择协议类型的下拉列表中选择TCP,然后在到此端口下的文本框中输入135,点击确定按钮(如左图),这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击确定按钮。 第四步,在新规则属性对话框中,选择新IP 筛选器列表,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击筛选器操作选项卡。在筛选器操作选项卡中,把使用添加向导左边的钩去掉,点击添加按钮,添加阻止操作(右图):在新筛选器操作属性的安全措施选项卡中,选择阻止,然后点击确定按钮。 第五步、进入新规则属性对话框,点击新筛选器操作,其左边的圆圈会加了一个点,表示已经激活,点击关闭按钮,关闭对话框;最后回到新IP安全策略属性对话框,在新的IP筛选器列表左边打钩,按确定按钮关闭对话框。在本地安全策略窗口,用鼠标右击新添加的IP 安全策略,然后选择指派。 重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。目前还没听说有补丁下载。