交换机端口隔离port-isolate
一公司有三个部门,分别有三台PC。根据要求实现,PC1与PC2禁止互相访问,PC1可以访问PC3,但PC3不能访问PC1,PC2与PC3之间可以互相访问。
根据需求分析,PC1与PC2之间端口隔离,PC1与PC3之间单向隔离(模拟器没有实现),PC2与PC3之间不隔离。
脚本:
#
VLAN 2
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port-isolate enable group 3
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
port-isolate enable group 3
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。
#
在此情况下,PC1与PC2之间隔离了二层,但可以通过ARP porxy实现三层互通。
当PC1 ping PC2 时,
在GI0/0/1抓包:
从抓包信息可以看到,GI0/0/1有ARP报文,而GI0/0/2没有ARP 报文。
在SW上做VLAN2的网关,
interface Vlanif2
ip address 10.10.10.250 255.255.255.0
arp-proxy inner-sub-vlan-proxy enable
PC1 发送ARP请求PC2的MAC,VLANIF 2作为ARP Proxy代替PC2发送ARP应答报文。PC1收到VLANIF2 的相应后,把APR表中PC2的MAC修改未VLANIF2的MAC。
所以Ping的报文首先送到VLANIF2处理。
PC1与PC2之间虽然二层隔离,但是三层之间互通,此时在系统模式下,配置:port-isolate mode all,实现二层三层隔离。
此时PC1 Ping PC 2,在GI0/0/1端口下抓包:
在GI0/0/2端口下抓包:
PC1发送给ARP 请求,收到VLANIF2的报文响应,PC1发送request请求,但VLANIF 2 并没有发送ARP请求寻找PC2的MAC。
Switch的端口隔离默认模式为二层隔离三层互通,隔离组默认为1。
port-isolate mode l2
port-isolate enable group 1
am isolate 配置当前端口与指定端口单向隔离。
clear configuration port- - isoelate 在全局模式下可以清除所有的端口隔离配置。