【以太网交换安全】--- 端口隔离运行原理及二层隔离三层通信实例配置讲解

文章目录

一、端口隔离技术概述

一般在

以太网交换网络

中为了

隔绝广播域

通常使用不同的vlan进行报文之间的二层隔离，但是网络随着网络规模不断扩大，业务种类也是百花齐放，我们如果还是使用之前的传统vlan那么会使用大量的vlan id并且运维工作也是十分繁重，为了满足种类如此繁多的需求，产生了

端口隔离技术

，提供更灵活快捷的组网方式。

二、端口隔离技术运行原理

端口隔离技术主要就是

可以对·同一个vlan内的用户进行二层数据进行隔离

，端口隔离还可以配置同一个隔离组内端口之间是否相互隔离

（缺省）

,也可以选择单项隔离，在隔离类型的基础上还可以进行设置是二层隔离三层互通

（缺省）

或者二层三层都隔离。

注：在配置二层隔离三层互通隔离模式的时候，需要在vlanif接口上使能vlan内的Proxy ARP/ARP代理功能，这样才可以通过代理人进行

vlan内

通信。
使能Proxy ARP/ARP代码：

#内部子vlan代理
arp-proxy inner-sub-vlan-proxy enable

三、端口隔离实例配置配置

实验需求：

1.PC1 PC2之间不可以通过二层vlan进行通信
2.PC4可以和PC1 PC2进行通信

需求分析：
PC1 PC2之间不可以通过vlan进行通信这就是使二者放入同一个隔离组然后隔离模式设置L2就可以，有了前面的铺垫，PC4什么都不需要做就可以完成需求。
实验步骤:
老规矩先配置二层，在实现需求。
LSW1

#lsw1vlanb10inte0/0/1plapdv10inte0/0/2plapdv10inte0/0/3plapdv10intg0/0/1pltptav10

LSW2

interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10

至此二层配置完毕！

我们把PC1 PC2加入同一个隔离组10
LSW1

#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10port-isolateenablegroup1port-isolateenablegroup10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan10port-isolateenablegroup1port-isolateenablegroup10#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan10

我们必须在三层设备上把vlan划分进端口

开启ARP代理!！！

并添加网关地址。
LSW2

#interfaceVlanif10ipaddress192.168.1.254255.255.255.0arp-proxyinner-sub-vlan-proxyenable

所有配置已完成

四、效果检测

检测PC1和PC2是否通过三层进行通信

检测PC4是否可以和PC 1PC2进行通信

五、端口配置命令

1.使能端口隔离功能

[Huawei-GigabitEthernet0/0/1]port-isolateenable[ group group-id ]

2.（可选）配置端口隔离模式

#缺省情况下，端口隔离模式为L2。#L2端口隔离模式为二层隔离三层互通。#all端口隔离模式为二层三层都隔离。[Huawei]port-isolatemode{l2|all}

3.配置端口单向隔离

[Huawei-GigabitEthernet0/0/1]amisolate{interface-typeinterface-number}&<1-8>

4.查询删除命令

displayport-isolategroup{group-id|all}，查看端口隔离组的配置。clearconfigurationport-isolate命令一键式清除设备上所有的端口隔离配置。port-isolateexcludevlan命令配置端口隔离功能生效时排除的VLAN。