交换机端口隔离port-isolate

最新推荐文章于 2024-05-08 12:10:46 发布
最新推荐文章于 2024-05-08 12:10:46 发布
阅读量2.9w 收藏 51
点赞数 7
分类专栏: 网络协议 文章标签: ARP port-isolate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xu119718/article/details/58037510
版权

一公司有三个部门,分别有三台PC。根据要求实现,PC1与PC2禁止互相访问,PC1可以访问PC3,但PC3不能访问PC1,PC2与PC3之间可以互相访问。

根据需求分析,PC1与PC2之间端口隔离,PC1与PC3之间单向隔离(模拟器没有实现),PC2与PC3之间不隔离。



脚本:

#

VLAN 2

#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
 port-isolate enable group 3
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
 port-isolate enable group 3
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 2

 am isplate gigabitEthernet0/0/1              模拟器未实现单向隔离。
#

在此情况下,PC1与PC2之间隔离了二层,但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时,

在GI0/0/1抓包:


在GI0/0/2抓包:


从抓包信息可以看到,GI0/0/1有ARP报文,而GI0/0/2没有ARP 报文。

在SW上做VLAN2的网关,

interface Vlanif2
 ip address 10.10.10.250 255.255.255.0
 arp-proxy inner-sub-vlan-proxy enable

此时在GI0/0/1抓包:


在GI0/0/2抓包:


PC1 发送ARP请求PC2的MAC,VLANIF 2作为ARP Proxy代替PC2发送ARP应答报文。PC1收到VLANIF2 的相应后,把APR表中PC2的MAC修改未VLANIF2的MAC。

所以Ping的报文首先送到VLANIF2处理。


PC1与PC2之间虽然二层隔离,但是三层之间互通,此时在系统模式下,配置:port-isolate  mode   all,实现二层三层隔离。

此时PC1 Ping  PC 2,在GI0/0/1端口下抓包:


在GI0/0/2端口下抓包:


PC1发送给ARP 请求,收到VLANIF2的报文响应,PC1发送request请求,但VLANIF 2 并没有发送ARP请求寻找PC2的MAC。

Switch的端口隔离默认模式为二层隔离三层互通,隔离组默认为1。

port-isolate mode l2 
port-isolate enable group 1

am isolate 配置当前端口与指定端口单向隔离。

clear configuration port- - isoelate  在全局模式下可以清除所有的端口隔离配置。


许多123
关注
  • 7
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
port isolate enable命令
sxjk1987的专栏
09-25 1万+
命令格式 port-isolate enable [ group group-id ] undo port-isolate enable [ group group-id ] [Huawei]port-isolate mode ? all All l2 L2 only 二层隔离或三层隔离 应用场景 为了实现接口之间的二层隔离,可以将不同的端口加入不同的...
中兴交换机常用命令及介绍-值得收藏和学习
最新发布
满地找牙的博客
06-29 1044
`中兴交换机命令集的一部分,更详细的命令和特定操作可能需要参考中兴官方的命令手册或设备的用户指南。由于命令众多且功能复杂,实际操作时建议对照具体设备的手册执行
端口隔离port-isolate(二层隔离)
夜邢的博客
12-30 4567
端口隔离port-isolate 二层隔离
交换机高级特性之Port-isolate(端口隔离)
Hala
11-14 1万+
文章目录端口隔离的原理与配置前言一、实验搭建1.1 端口隔离的配置1.2 验证测试二、分析 端口隔离的原理与配置 前言 为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。 而端口隔离功能可以实现同一VLAN内端口之间的隔离。 用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。 端口隔离功能为用户提供了更安全、更灵活的组网方案。 一、实验搭建 实验的拓扑如下: 需求: 外来访客之间不能互访,但可以与内部员工之间互访 PC全部划分
华为交换机端口隔离
zdl244的博客
11-21 3903
华为交换机端口隔离(实现任意两个或者多个端口互相隔离) 配置过于简单,直接在核心交换机上做吧: [Huawei]port-isolate mode l2         #可以选择all,我这里只做二层隔离选择l2 [Huawei]interface GigabitEthernet 0/0/1 &nb...
端口隔离-isolation
Shane_xie的博客
09-20 1364
端口隔离是一种重要的网络安全技术,用于限制计算机端口或网络区段之间的通信。
交换机端口隔离
SSR_ZZ的博客
05-08 501
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。接口的单向隔离是指若在接口A上配置它与接口B隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。可以看到ARP表项中PC2的MAC地址为网关MAC地址。通过ARP代理可以实现三层互通。通过网关将数据包转发给PC2。
交换机端口隔离、单向端口隔离实验
mhpboy192的专栏
11-30 1005
端口隔离的目的是实现将特定端口隔离在自己的虚拟网络里,用于数据隔离和访问控制,同一组内不可相互转发报文,节省了网络资源。如图端口隔离可以分为组隔离方式和单向隔离方式,还可分为二层隔离和完全隔离。本篇是组隔离和单向隔离的实验,帮助和我一样的新手们理解什么是端口隔离
华为交换机端口隔离功能
weixin_45857582的博客
03-10 1万+
华为交换机实现端口隔离功能 端口隔离功能原理:在交换机的接口视图下开启此接口的端口隔离功能,交换机默认是将隔离的端口加入到了一个隔离组中,默认是group 1,处于同一个组中的端口之间是不能互相访问的。不同组之间的端口是可以互相访问的。 interface GigabitEthernet0/0/1 port-isolate enable group 1 interface GigabitEthernet0/0/2 port-isolate enable group 1 默认如果不指定组的话,是gro
如何通过Port-isolate实现二层网络相互隔离
IT_bear_的博客
04-22 1055
点击领取>>>华为认证HCIP+HCIE学习资料包 (含肖哥笔记、常用软件安装、学习视频、模拟题等) ACL适用于三层不同网段的场景,对于这种二层的场景就束手无策了,尤其是接入交换机是二层交换机的场景,此时需要配置vlan 内不同端口的隔离技术:port-isolate port-isolate端口隔离特性 可以实现不同用户的端口属于同一个Vlan,但是不同用户之间不能二层互通,从而增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的Vlan资源。 配置案例: in.
OSPF 路由引入以及缺省路由
热门推荐
许多网络
01-16 3万+
default-route-advertise: 当外部路由存在缺省路由时,即引入并在OSPF区域内泛宏;default-route-advertise always:无论是否存在缺省路由,都会生成一条外部路由在OSPF区域内泛宏,此种方法为引入缺省路由。 import route 是ospf里面引入其他协议的路由(如static,bgp,rip),不能引入外部的缺省路由。 R2、
PIM SM模式下BSR与RP选举机制
许多网络
08-24 1万+
PIM SM模式下BSR与RP选举机制 BSR作用: BSR:bootstarp router 管理动态选举RP。选举出BSR,BSR然后向整个网络通告自己的存在。PIM-SM路由器侦听BSR洪泛的通过,并保存BSR信息。而C-RP(候选RP)则向BSR发送候选通告。BSR收集所有的C-RP信息,将汇总的信息进行全网洪泛。PIM-SM路由器会收到BSR洪泛的信息,根据相同的算法计算出组播组和R...
华为路由器、交换机镜像抓包方法
许多网络
03-20 1万+
华为 BRAS、交换机端口镜像、流镜像
华为交换机、路由器流量统计
许多网络
03-29 1万+
华为路由器、交换机流量统计方法 1、拓扑图 电脑IP:192.168.1.2/24  LSW1接口IP:192.168.1.1/24,使用流量统计,对报文丢弃原因可以快速定位。 2、流量统计ACL配置方法 # acl number 3000  rule 5 permit icmp source 192.168.1.2 0 destination 192.168.1.
单臂路由
许多网络
02-22 1万+
不同的网段分布在不同的VLAN内,通过端口子接口互相通信。 AR1配置: # interface GigabitEthernet0/0/0 # interface GigabitEthernet0/0/0.1  dot1q termination vid 4  ip address 172.16.1.1 255.255.255.0   arp broadcast e
华为灵活qinq简单配置
许多网络
02-16 1万+
SW01: vlan batch 100 200 # interface GigabitEthernet0/0/1  port link-type trunk  port trunk allow-pass vlan 100 200 # interface GigabitEthernet0/0/2  qinq vlan-translation enable  port hybrid
router id 选择
许多网络
01-16 1万+
常用的OSPF或是BGP中,选择router id时,并不一定都是loopback地址,那看看router id是怎么选择的。 router id:32位无符号整数,唯一标识一台router。每一台ospf路由器都需要一个ID,可手动配置router id,可以从最大loopback口选择,可以从最大的物理口选择。 如果没有配置router id就从loopback选择;如果没有loopb
ospf学习-----ospf网络类型、拓扑类型
许多网络
05-17 1万+
ospf学习-----ospf lsa类型
port-isolate mode all
04-06
b'port-isolate mode all' 是一个网络设置或命令,用于在网络交换机中禁止所有端口间的通信,也称作端口隔离模式。这种设置通常用于保护网络安全,防止恶意的网络攻击或信息泄漏。在此模式下,只允许交换机与上级设备通信,而所有端口之间的通信被禁止。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值