希望有需要的小伙伴可以参考参考,如有误解、请指正!
一、实验原理
端口隔离:
- 实现同一VLAN内端口之间的隔离(限制同一广播域内的端口之间的访问);
- 配置端口隔离之后,无论哪个VALN,都不能相互通信。
二、实验拓扑
描述:在同一VLAN(广播域)内连接着三台通网段的PC:10.0.0.X/8
三、实验详解
1.基本配置:
PC1:10.0.0.1/8
PC2:10.0.0.2/8
PC3:10.0.0.3/8
2.配置验证:
交换机暂未配置,此时三台PC之间是可以相互Ping通:
3.双向隔离:
要求:PC1与PC2不能互通;
解析:需实现双向隔离,我们可以将PC1与PC2加入同一个隔离组中,为实现隔离,我们需要将G0/0/1与G0/0/2口都加入同一个隔离组中,默认为Group 1,取值范围为<1-64>;
SW1:
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
//将一个接口接入隔离组后PC1与PC2是可以正常通信的;
interface GigabitEthernet0/0/2
port-isolate enable group 1
//将G0/0/2加入后此时出现超时,如下所示:
此时实验配置完成。
4.单向隔离:
要求:PC1可以Ping通PC3,但是PC3Ping不通PC1;
解析:为实现单项访问限制,需要在PC3的G0/0/3接口上单向隔离PC1的G0/0/1口
#
interface GigabitEthernet0/0/3
am isolate GigabitEthernet0/0/1
#
此时PC1Ping不通PC3,PC3也Ping不通PC1,但是通过抓包你会发现,两边Ping不通的提示不一样的,为什么呢?
PC1:
PC3:
解析:PC1想要Ping通PC3,首先需要发起ARP,ARP报文过得去但是回不来,导致PC1获取不到PC3的MAC地址,所以PC1封装不了数据包;
G0/0/1:
抓包可以看到ARP报文在G0/0/1有去的没有返回的包
G0/0/3:
但是在G0/0/3口上你会发现有去的包,那么为什么会有回的包呢,是因为此前PC1pingPC3的时候,PC3学习到了PC1的MAC地址。
5.思考:
这个方案是否完美呢?假如给交换机配置一个VLANIF接口,地址配置在与PC同一个网段呢?此时PC间还会ping的通吗?
欢迎观看下节代理ARP技术实验原理,如有错误请指正!