38-1、HCIE补充实验:端口隔离 二层隔离三层互通+二层三层均隔离
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 前言
- 一、端口隔离基础
- 二、配置1:同vlan下,端口隔离同组不通,不同组可通
- 1.SW1
- 2.SW2
- 二、配置2:二层隔离三层互通
- 三、二层隔离三层均隔离
前言
实验目的
1、SW1:端口隔离模式配置为L2:二层隔离三层互通
2、将SW1的 3口、4口配置为隔离端口;
测试PC1、PC2能否互通
测试PC2、PC3能否互通
3、SWA为vlan10 配置管理IP地址,
再次测试PC1、PC2能否互通
再次测试PC2、PC3能否互通
一、端口隔离基础
端口隔离功能可以实现同一VLAN内端口之间的隔离
同组隔离、不同组不隔离
隔离类型双向隔离(默认:同组隔离、不同组不隔离)同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离;端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能单项隔离(实现不同隔离组之间也不通)1.不同隔离组间:实现不同端口隔离组的接口之间的隔离;缺省情况下,未配置端口单向隔离 2.A可以发给B,B不可以发给A (某端有安全隐患,比如发送大量广播报文,有试验) 针对广播报文,真实用法
隔离模式L2(二层隔离三层互通)隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信;缺省情况下,端口隔离模式为二层隔离三层互通ALL(二层三层都隔离)
同一VLAN的不同端口下用户二三层彻底隔离无法通信
二、配置1:同vlan下,端口隔离同组不通,不同组可通
1.SW1
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 10
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10port-isolate enable group 1
#
interface GigabitEthernet0/0/4port link-type accessport default vlan 10port-isolate enable group 1
#
interface GigabitEthernet0/0/5port link-type accessport default vlan 10
2.SW2
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 10
二、配置2:二层隔离三层互通
开启端口隔离的模式下,实现同隔离组互通
采用二层隔离三层互通的隔离模式时,如果接口成员配置了VLAN内的主机相互隔离,而VLAN内的主机需要互访,就必须配置VLAN内Proxy ARP功能。
在VLANIF端口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信
[Huawei-Vlanif10]dis this
#
interface Vlanif10ip address 192.168.1.100 255.255.255.0arp-proxy inner-sub-vlan-proxy enable
#
三、二层隔离三层均隔离
实验目的:
SWA 的隔离端口模式配置为二层三层均隔离模式
2、将SW1的 3口、4口配置为隔离端口;
测试PC1、PC2能否互通
测试PC2、PC3能否互通
3、SWA为vlan10 配置管理IP地址,
再次测试PC1、PC2能否互通
再次测试PC2、PC3能否互通
不同组可通,同组 二层三层都不通
#
port-isolate mode all
#