交換機端口隔離port-isolate
一公司有三個部門,分別有三台PC。根據要求實現,PC1與PC2禁止互相訪問,PC1可以訪問PC3,但PC3不能訪問PC1,PC2與PC3之間可以互相訪問。
根據需求分析,PC1與PC2之間端口隔離,PC1與PC3之間單向隔離(模擬器沒有實現),PC2與PC3之間不隔離。
腳本:
#
VLAN 2
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port-isolate enable group 3
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
port-isolate enable group 3
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
am isplate gigabitEthernet0/0/1 ////模擬器未實現單向隔離。
#
在此情況下,PC1與PC2之間隔離了二層,但可以通過ARP porxy實現三層互通。
當PC1 ping PC2 時,
在GI0/0/1抓包:
從抓包信息可以看到,GI0/0/1有ARP報文,而GI0/0/2沒有ARP 報文。
在SW上做VLAN2的網關,
interface Vlanif2
ip address 10.10.10.250 255.255.255.0
arp-proxy inner-sub-vlan-proxy enable
PC1 發送ARP請求PC2的MAC,VLANIF 2作為ARP Proxy代替PC2發送ARP應答報文。PC1收到VLANIF2 的相應后,把APR表中PC2的MAC修改未VLANIF2的MAC。
所以Ping的報文首先送到VLANIF2處理。
PC1與PC2之間雖然二層隔離,但是三層之間互通,此時在系統模式下,配置:port-isolate mode all,實現二層三層隔離。
此時PC1 Ping PC 2,在GI0/0/1端口下抓包:
在GI0/0/2端口下抓包:
PC1發送給ARP 請求,收到VLANIF2的報文響應,PC1發送request請求,但VLANIF 2 並沒有發送ARP請求尋找PC2的MAC。
Switch的端口隔離默認模式為二層隔離三層互通,隔離組默認為1。
port-isolate mode l2
port-isolate enable group 1
am isolate 配置當前端口與指定端口單向隔離。
clear configuration port- - isoelate 在全局模式下可以清除所有的端口隔離配置。