提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
实验目的
1、SW1:端口隔离模式配置为L2:二层隔离三层互通
2、将SW1的 3口、4口配置为隔离端口;
测试PC1、PC2能否互通
测试PC2、PC3能否互通
3、SWA为vlan10 配置管理IP地址,
再次测试PC1、PC2能否互通
再次测试PC2、PC3能否互通
一、端口隔离基础
端口隔离功能可以实现同一VLAN内端口之间的隔离
同组隔离、不同组不隔离
隔离类型
双向隔离(默认:同组隔离、不同组不隔离)
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离;
端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能
单项隔离(实现不同隔离组之间也不通)
1.不同隔离组间:实现不同端口隔离组的接口之间的隔离;缺省情况下,未配置端口单向隔离
2.A可以发给B,B不可以发给A (某端有安全隐患,比如发送大量广播报文,有试验) 针对广播报文,真实用法
隔离模式
L2(二层隔离三层互通)
隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信;
缺省情况下,端口隔离模式为二层隔离三层互通
ALL(二层三层都隔离)
同一VLAN的不同端口下用户二三层彻底隔离无法通信
二、配置1:同vlan下,端口隔离同组不通,不同组可通
1.SW1
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 10
2.SW2
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
二、配置2:二层隔离三层互通
开启端口隔离的模式下,实现同隔离组互通
采用二层隔离三层互通的隔离模式时,如果接口成员配置了VLAN内的主机相互隔离,而VLAN内的主机需要互访,就必须配置VLAN内Proxy ARP功能。
在VLANIF端口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信
[Huawei-Vlanif10]dis this
#
interface Vlanif10
ip address 192.168.1.100 255.255.255.0
arp-proxy inner-sub-vlan-proxy enable
#
三、二层隔离三层均隔离
实验目的:
SWA 的隔离端口模式配置为二层三层均隔离模式
2、将SW1的 3口、4口配置为隔离端口;
测试PC1、PC2能否互通
测试PC2、PC3能否互通
3、SWA为vlan10 配置管理IP地址,
再次测试PC1、PC2能否互通
再次测试PC2、PC3能否互通
不同组可通,同组 二层三层都不通
#
port-isolate mode all
#
882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
