前文我們了解了組播路由協議稀疏模式中的RP相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/16154347.html;今天我們來聊一聊二層交換機中有關vlan隔離相關話題;
我們知道在二層交換機上劃分vlan可以實作將一個廣播域劃分為多個廣播域,從而避免廣播域過大而造成的廣播風暴;簡單講劃分vlan就是隔離廣播域;默認情況下在同一廣播域的主機,只要有一臺pc發送廣播,同一廣播域中的其他主機也會收到對應廣播,這樣一來可能造成同一廣播域中的主機相互干擾;那有沒有一種方法避免同一廣播域中的主機互不干擾呢?
埠隔離
所謂埠隔離就是指在同一vlan內埠之間的隔離,它是交換機埠之間的一種安全訪問控制機制,配置埠隔離后,無論是那個vlan都不能互相通信;
提示:如上圖所示,pc1和pc2同屬于vlan10,在沒有配置埠隔離pc1和pc2可以通過交換機 相互通信,即fa0/1和fa0/2可以相互轉發資料;配置了埠隔離以后pc1和pc2就不能相互通信了;當然pc1和pc2都可以和gi0/1介面通信;
雙向埠隔離
提示:雙向隔離是指在同一隔離組的埠兩兩相互隔離;報文不能達到通信雙方的任何一端;
單向埠隔離
提示:單向隔離是某一埠到另一些埠的單向隔離;報文只能從某一個方向發送到對端;
實驗:如下圖所示,配置雙向隔離和單向隔離
實驗環境:在一個交換機上有三臺主機,它們同屬vlan12,在交換機上配置實作,pc1和pc2雙向隔離,pc1到pc3單向隔離
交換機配置
sys sys sw1 vlan 12 int g0/0/1 port link-type access port default vlan 12 int g0/0/2 port link-type access port default vlan 12 int g0/0/3 port link-type access port default vlan 12View Code
驗證vlan資訊
驗證pc1,pc2,pc3是否能夠正常通信?
提示:可以看到默認情況下在同一vlan下的主機是可以相互通信;并不隔離;
在交換機上配置pc1和pc2雙向埠隔離
提示:配置雙向埠隔離,我們只需把對應需要隔離的埠加入同一隔離組即可;默認不寫隔離組就是組1;
把pc2直連所在埠加入到隔離組
驗證埠隔離資訊
提示:可以看到現在有一個隔離組group1,里面有兩個埠分別是g0/0/1和g0/0/2;
驗證:pc1和pc2是否還能正常通信呢?
提示:可以看到現在pc1和pc2就不能正常通信了;
在交換機的1口和2口抓包查看其程序
提示:可以看到做了埠雙向隔離以后,在同一vlan下的兩臺主機就不能正常通信了,其實不能正常通信的最主要原因是通信雙方發送的arp對方收不到,所以導致沒有通信對方的mac,二層封裝就不能完成;
驗證:pc1和pc3是否能正常通信呢?pc2和pc3是否能正常通信呢?
提示:可以看到pc1和pc3通信,pc2和pc3的通信并不受pc1和pc2所在埠做雙向埠隔離的影響;也就是說只有在同一隔離組里的埠通信才會相互隔離;
在交換機上配置pc1和pc3單向隔離
提示:上述配置表示pc1所在埠單向隔離pc3,即pc1能將arp發送給pc3,但是pc3回復報文被隔離,pc1收不到pc3的回答;反之pc3發送arp,pc1和pc3做了單向隔離,所以pc3發送的arppc1根本就收不到;
驗證:用pc1pingpc3看看是否能夠正常ping通?
提示:可以看到現在pc1pingpc3提示我們目標主機不可達;其原因是pc1發送的arp廣播遲遲沒有回復;所以pc1認為pc3不可達;
在g0/0/1和g0/0/3上抓包,看看通信程序
提示:可以看到做了單向埠隔離以后,pc1的arp能夠正常到達pc3,但是pc3回復的arp被阻斷,pc1收不到pc3回復的mac,所以二層封裝不能正常完成,所以icmp提示我們目標主機不可達;相反pc3pingpc1,由于之前pc1發送的arp pc3收到了,即pc3拿到了pc1的mac,所以pc3pingpc1的時候是直接封裝icmp包發送,并沒有先發arp;由于pc1和pc3做了單向埠隔離,所以pc3發送的icmp報文pc1并沒有收到,當然也就沒有回復報文,所以pc3pingpc1提示超時,并不是目標主機不可達;
當然埠隔離技術不僅僅限于可管理的二三層交換機上實作,有的傻瓜交換機也有埠隔離,不同的是二三層交換機可以由管理員手動定義埠隔離,而傻瓜交換機的埠隔離是通過一個撥碼按鈕實作,且不能手動定義埠隔離;如下圖所示
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/463507.html
標籤:其他