151-5197-5087
扬州华为授权服务中心
当前位置:网站首页 > 网络设备调试 正文 网络设备调试

华为交换机端口隔离看这一篇文章就行了

2024-12-05 23:06:39 网络设备调试 28 ℃ 0 评论

1.    实验目的

掌握端口隔离技术

2.    实验拓扑

华为数通HCIP-Datacom实验指南(全套实验操作)-学习视频教程-腾讯课堂

3.    实验步骤

  1. 配置IP地址

   如图所示配置IP地址(此处省略)

  1. 创建VLAN,并把接口划入到VLAN

[Huawei]sysname LSW1

[LSW1]vlan 10

[LSW1-vlan10]quit   

[LSW1]vlan 20

[LSW1-vlan20]quit

[LSW1]interface g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 10

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1-GigabitEthernet0/0/3]quit

[LSW1]interface g0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

[LSW1-GigabitEthernet0/0/4]quit

[LSW1]interface g0/0/5

[LSW1-GigabitEthernet0/0/5]port link-type access   

[LSW1-GigabitEthernet0/0/5]port default vlan 20

[LSW1-GigabitEthernet0/0/5]quit

  1. 在VLAN10中,PC1可以访问 PC2和PC3,PC2和PC3不能相互访问

[LSW1]port-isolate mode l2  //配置端口隔离模式为 L2,端口隔离模式为二层隔离三层互通

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port-isolate enable group 10  //使能端口隔离功能,加入的端口隔离为10。

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port-isolate enable  group 10

[LSW1-GigabitEthernet0/0/3]quit

  1. 测试PC1、PC2、PC3的联通性

通过以上输出可以看到PC2与PC3不能相互访问,但是可以访问PC1

  1. 在VLAN20中,PC4主机存在安全隐患,往其他主机发送大量的广播报文,通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。

[LSW1]interface g0/0/4

[LSW1-GigabitEthernet0/0/4]am isolate GigabitEthernet 0/0/5  // g0/0/4的报文不能发给g0/0/5,g0/0/5的报文可以发给g0/0/4

[LSW1-GigabitEthernet0/0/4]quit

  1. 抓包查看现象

第一步:PC4访问PC5时,在交换机抓g0/0/4和g0/0/5的数据包

通过以上输出可以看到g0/0/4的包文不能到达g0/0/5

第二步:PC5访问PC4时,在交换机抓g0/0/4和g0/0/5的数据包

通过以上输出可以看到g0/0/5的包文到达了g0/0/4。

4.    实验调试

  1. 查看端口隔离组中的端口

<LSW1>display port-isolate group all

  The ports in isolate group 10:  //组的编号为10

GigabitEthernet0/0/2     GigabitEthernet0/0/3      //组10中有两个端口

  1. 测试PC2和PC3的连通性

通过以上输出可以看到它们不能访问

(3)创建三层接口,让PC2和PC3可以相互访问

[LSW1]interface Vlanif 10

[LSW1-Vlanif10]ip address 10.1.1.254 24

[LSW1-Vlanif10]arp-proxy inner-sub-vlan-proxy enable   //使能VLAN内Proxy ARP功能

[LSW1-Vlanif10]quit

再次测试PC2和PC3的联通性

通过以上输出可以看到,PC2和PC3可以相互访问了。

【技术要点】L2(二层隔离三层互通) 

  • 隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
  • 采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。

版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接

请在这里放置你的在线分享代码
«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031
控制面板
您好,欢迎到访网站!
  查看权限
网站分类
搜索
最新留言
    文章归档
    网站收藏
    友情链接