提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  IT要闻

当前栏目

华为交换机端口隔离看这一篇文章就行了

华为
2023-04-18 14:26:03 时间

1.    实验目的

掌握端口隔离技术

2.    实验拓扑

华为数通HCIP-Datacom实验指南(全套实验操作)-学习视频教程-腾讯课堂

3.    实验步骤

  1. 配置IP地址

   如图所示配置IP地址(此处省略)

  1. 创建VLAN,并把接口划入到VLAN

[Huawei]sysname LSW1

[LSW1]vlan 10

[LSW1-vlan10]quit   

[LSW1]vlan 20

[LSW1-vlan20]quit

[LSW1]interface g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 10

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1-GigabitEthernet0/0/3]quit

[LSW1]interface g0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

[LSW1-GigabitEthernet0/0/4]quit

[LSW1]interface g0/0/5

[LSW1-GigabitEthernet0/0/5]port link-type access   

[LSW1-GigabitEthernet0/0/5]port default vlan 20

[LSW1-GigabitEthernet0/0/5]quit

  1. 在VLAN10中,PC1可以访问 PC2和PC3,PC2和PC3不能相互访问

[LSW1]port-isolate mode l2  //配置端口隔离模式为 L2,端口隔离模式为二层隔离三层互通

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port-isolate enable group 10  //使能端口隔离功能,加入的端口隔离为10。

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port-isolate enable  group 10

[LSW1-GigabitEthernet0/0/3]quit

  1. 测试PC1、PC2、PC3的联通性

通过以上输出可以看到PC2与PC3不能相互访问,但是可以访问PC1

  1. 在VLAN20中,PC4主机存在安全隐患,往其他主机发送大量的广播报文,通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。

[LSW1]interface g0/0/4

[LSW1-GigabitEthernet0/0/4]am isolate GigabitEthernet 0/0/5  // g0/0/4的报文不能发给g0/0/5,g0/0/5的报文可以发给g0/0/4

[LSW1-GigabitEthernet0/0/4]quit

  1. 抓包查看现象

第一步:PC4访问PC5时,在交换机抓g0/0/4和g0/0/5的数据包

通过以上输出可以看到g0/0/4的包文不能到达g0/0/5

第二步:PC5访问PC4时,在交换机抓g0/0/4和g0/0/5的数据包

通过以上输出可以看到g0/0/5的包文到达了g0/0/4。

4.    实验调试

  1. 查看端口隔离组中的端口

<LSW1>display port-isolate group all

  The ports in isolate group 10:  //组的编号为10

GigabitEthernet0/0/2     GigabitEthernet0/0/3      //组10中有两个端口

  1. 测试PC2和PC3的连通性

通过以上输出可以看到它们不能访问

(3)创建三层接口,让PC2和PC3可以相互访问

[LSW1]interface Vlanif 10

[LSW1-Vlanif10]ip address 10.1.1.254 24

[LSW1-Vlanif10]arp-proxy inner-sub-vlan-proxy enable   //使能VLAN内Proxy ARP功能

[LSW1-Vlanif10]quit

再次测试PC2和PC3的联通性

通过以上输出可以看到,PC2和PC3可以相互访问了。

【技术要点】L2(二层隔离三层互通) 

  • 隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
  • 采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。

相关文章