文章介绍了如何通过端口隔离实现同一VLAN内PC1无法访问PC2但能访问PC3,以及设置镜像端口(observe-port)进行网络流量监控的配置方法。在SW1上,配置端口隔离使PC1和PC2间通信受限,而在SW2上,设置G0/0/1为观察端口,G0/0/2为镜像端口,用于流量监控。
端口隔离:端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
PC1、PC2、PC3主机的IP地址分别为192.168.1.1/24 、192.168.1.2/24、192.168.1.3/24
要实现PC1不能访问PC2,但PC1可以访问PC3
SW1配置:
#
interface GigabitEthernet0/0/1
port-isolate enable group 1 //group 1组里的成员端口启用端口隔离,成员端口间相互隔离不能访问
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
PC>ping 192.168.1.2
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
--- 192.168.1.2 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PING 192.168.1.2显示主机不可达
PC>ping 192.168.1.3
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break
From 192.168.1.3: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.1.3: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.1.3: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.1.3: bytes=32 seq=4 ttl=128 time=47 ms
From 192.168.1.3: bytes=32 seq=5 ttl=128 time=31 ms
--- 192.168.1.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/46/62 ms
PING 192.168.1.3显示主机可达镜像端口:端口镜像(port Mirroring)功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。
G0/0/1为观察端口、G0/0/2为镜像端口
PC4的IP地址为192.168.10.2/24 server1的IP地址为192.168.10.1/24
SW2配置:
#
observe-port 1 interface GigabitEthernet0/0/1 //定义1口为观察端口1
#
interface GigabitEthernet0/0/2
port-mirroring to observe-port 1 inbound //把镜像端口进方向的流量复制一份给观察端口
port-mirroring to observe-port 1 outbound //把镜像端口出方向的流量复制一份给观察端口
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
