接口配置锦囊妙计之二——
端口隔离(转自华为技术论坛)
交换机在江湖之初窥门径】接口配置锦囊妙计之二----端口隔离
下图是我军的大营分布图。
这就需要咱们祭出端口隔离这个大招啦。此招一出,威力无穷,必然能够完成丞相军令,到时候丞相肯定夸你是个爱学习、肯动脑的好孩子,哈哈哈哈!”
配置步骤如下:
system-view
[Huawei] sysname Switch
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1]
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2]
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3]
张飞闻言大喜,不过他心中还压着一个小包袱:“维维老弟,丞相还要咱们实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。这个问题也能用端口隔离解决吗?”
姜维微微一笑,淡定地说:“端口隔离既然是大招,当然不仅仅只有端口隔离组这件杀器喽,它的武器库里还要另外一件杀器——单向隔离,正好解决你提的这个问题。”
张飞有点不相信,怀疑地说:“神马是单向隔离?有这么神奇吗?”
姜维笑着说:“单向隔离,顾名思义,只在单个方向上进行信息隔离。举个栗子,在接口A上配置它与接口B之间单向隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。就拿你提的这个问题来说吧,要实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营,就可以使用单向隔离功能。如下图所示,在端口GE0/0/3上配置单向隔离功能,并指定隔离的端口是GE0/0/1,这样,GE0/0/3上发出的报文不能到达GE0/0/1,而GE0/0/1发出的报文可以到达GE0/0/3,从而实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3]
[Switch-GigabitEthernet0/0/3]
第二天,张飞美滋滋地等着诸葛神人的表扬,不料,诸葛神人却告诉张飞:“飞飞,端口GE0/0/1与端口GE0/0/2现在是二层隔离,虽然ARP啥的无法透传过来,但是通过VLAN内Proxy ARP功能,中军大营与士兵大营仍然能够借助自己的网关实现三层互访,这就是所谓的二层隔离但是三层不隔离。”
张飞有点小郁闷:“丞相,管它二层隔离三层隔离,只要能实现信息隔离不就行了?反正我现在看不出来二层隔离和三层隔离有啥区别。”
诸葛神人不慌不忙地摇着鹅毛扇:“事实胜于雄辩。我们做个小实验,你就完全明白了。
实验过程如下:
步骤1
在PC1 Ping PC2的过程中,在交换机上抓取经过GE0/0/1和GE0/0/2的报文。
步骤2
[Switch] interface vlanif 10
[Switch-Vlanif10]
[Switch-Vlanif10]
[Switch-Vlanif10] quit
然后用PC1和PC2互相Ping对方,结果两者可以互相Ping通,这说明端口隔离功能失效了。这是怎么回事呢?让我们来抓包分析一下。
l江
在交换机上执行display arp all命令就可以查看VLANIF10的ARP表项,ARP表项中包含VLANIF10的MAC地址。如下图所示。
结论
张飞嚷道:“哇,PC1和PC2之间果然能够通过三层进行通信。那么,丞相,如何实现PC1和PC2二三层都隔离呢?”
诸葛神人微微一笑:“很简单,只需要在系统视图下执行port-isolate mode all命令即可实现二三层都隔离。让我们再次实验一下。
实验步骤如下:
步骤1
[Switch]
步骤2
抓包分析一下PC1和PC2无法互相Ping通的原因。
飞飞你看,只是增加了一个小小的配置,端口隔离功能就又王者归来了!”
张飞信服地点了点头,赞叹道:“不愧是丞相呀,果然神机妙算!不过丞相,你看现在我们在交换机上配置了这么多端口隔离的命令,万一日后我们不需要端口隔离功能了,一条一条删除这些命令多麻烦呀!”
诸葛神人夸奖张飞:“谁说飞飞有勇无谋?这个想法就很动脑子。其实,在系统视图下执行clear configuration port-isolate命令就可以一键式清除设备上所有的端口隔离配置,包括端口隔离组、端口单向隔离和隔离模式相关配置。不过,飞飞,由于执行clear configuration port-isolate命令一键式清除的命令数量比较多,可能会影响其他业务,在使用时一定要谨慎哦!”
张飞哈哈大笑,说:“丞相,你放心吧,你不知道俺是粗中有细吗?哈哈!”
诸葛神人笑着说:“飞飞进步越来越大了。不过最近我军又购置了一批华为交换机,这批交换机型号、传输能力都各有不同,而这些交换机需要分布在各个营寨,与之前购买的那台交换机直接相连。现在我们想要相连交换机的接口之间的参数一致,从而保证数据能够正常传输,我们该怎么配置,飞飞你造吗?”
张飞大笑,“速取第三个锦囊。”
欲知后事如何,请听下回分解。
剧透:下期将带给大家的是接口管理锦囊妙计之三——端口自协商。敬请期待!
根据诸葛家的独门秘籍记载,小伙伴们如果还想了解端口组的定义和应用,请猛戳【交换机在江湖之初窥门径】接口配置锦囊妙计之一---批量配置。
PS:版本支持情况
1.端口单向隔离和双向隔离在所有版本均支持。
2.端口隔离模式配置命令port-isolate mode