一、端口隔离
1、我们通常通过划分VLAN,实现不同VLAN之间广播域的隔离
2、大型网络中划分太多的VLAN,如果通过划分VLAN实现二层隔离会浪费VLAN资源
3、通过端口隔离实现,用户将端口加入隔离组,实现隔离组内端口之间二层数据隔离
二、拓扑需求
1、配置财务和市场VLAN10
2、配置财务部实现端口隔离
3、PC3和PC4属于端口隔离组3,测试PC3与PC4的连通性
4、PC1和PC2属于端口隔离组1,测试PC1与PC2及PC3PC4的连通性
5、市场部PC5和PC6正常配置VLAN,PC7和PC8属于隔离组8,测试连通性
三、端口隔离配置
1、SW1 VLAN划分配置
[SW1]vlan 10 //配置VLAN10
[SW1-GigabitEthernet0/0/3] port link-type access //配置属于默认VLAN10
[SW1-GigabitEthernet0/0/3] port default vlan 10
[SW1-GigabitEthernet0/0/4] port link-type access
[SW1-GigabitEthernet0/0/4] port default vlan 10
2、PC3与PC4互通测试
同一个VLAN内PC3与PC4可以正常通信
3、端口隔离配置
[SW1-GigabitEthernet0/0/3]port-isolate enable group 3 //PC3接口配置属于端口隔离组3
[SW1-GigabitEthernet0/0/4]port-isolate enable group 3//PC4接口配置属于端口隔离组3
此时我们PC3和PC4都属于同一个隔离组3,测试PC3与PC4的连通性
此时交换机虽然可以学到PC3与PC4的MAC,PC3与PC4属于相同的隔离组二层数据隔离。
我们接下来配置交换机的G0/0/1接口属于VLAN10,测试PC1与PC3和PC4的连通性
PC1目前不属于任何隔离组,PC1可以正常和隔离组的PC3和PC4正常通信
然后我们配置PC1和PC2属于端口隔离组1
[SW1-GigabitEthernet0/0/1]port-isolate enable group 1 //配置属于隔离组1
此时PC1虽然属于隔离组1,但是数据仍然可以和不同的隔离组PC3互通
PC1和PC2接的HUB数据直接通过HUB可以实现互通,不受交换机端隔离配置的影响
通过以上配置实验我们可以得出结论:
1、相同隔离组内的PC二层隔离不能互相通信(这里PC直连没有HUB场景)
2、不同隔离组的PC之间可以互相通信
3、正常未配置隔离组的交换机接口连接PC也可以和配置隔离组的PC正常通信
我们再配置PC5和PC6,属于正常VLAN10,PC7和PC8属于隔离组8
[SW3-GigabitEthernet0/0/1] port link-type access G0/0/1-4接口均配置属于VLAN10
[SW3-GigabitEthernet0/0/1] port default vlan 10
PC7和PC8配置属于隔离组8:
[SW3-GigabitEthernet0/0/4]port-isolate enable group 8
[SW3-GigabitEthernet0/0/3]port-isolate enable group 8
此时PC7与PC8属于相同的隔离组不可以正常通信:
PC5属于普通VLAN10可以正常和隔离组PC7通信
即使我们把PC5配置属于隔离组7,PC5仍然可以和不同隔离组8的PC7进行通信:
[SW3-GigabitEthernet0/0/1]port-isolate enable group 7
实验验证理论只要属于相同的隔离组内的PC之间二层隔离不可以互通。