前文我们了解了组播路由协议稀疏模式中的RP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16154347.html;今天我们来聊一聊二层交换机中有关vlan隔离相关话题;

  我们知道在二层交换机上划分vlan可以实现将一个广播域划分为多个广播域,从而避免广播域过大而造成的广播风暴;简单讲划分vlan就是隔离广播域;默认情况下在同一广播域的主机,只要有一台pc发送广播,同一广播域中的其他主机也会收到对应广播,这样一来可能造成同一广播域中的主机相互干扰;那有没有一种方法避免同一广播域中的主机互不干扰呢?

  端口隔离

  所谓端口隔离就是指在同一vlan内端口之间的隔离,它是交换机端口之间的一种安全访问控制机制,配置端口隔离后,无论是那个vlan都不能互相通信;

  提示:如上图所示,pc1和pc2同属于vlan10,在没有配置端口隔离pc1和pc2可以通过交换机 相互通信,即fa0/1和fa0/2可以相互转发数据;配置了端口隔离以后pc1和pc2就不能相互通信了;当然pc1和pc2都可以和gi0/1接口通信;

  双向端口隔离

  提示:双向隔离是指在同一隔离组的端口两两相互隔离;报文不能达到通信双方的任何一端;

  单向端口隔离

  提示:单向隔离是某一端口到另一些端口的单向隔离;报文只能从某一个方向发送到对端;

  实验:如下图所示,配置双向隔离和单向隔离

  实验环境:在一个交换机上有三台主机,它们同属vlan12,在交换机上配置实现,pc1和pc2双向隔离,pc1到pc3单向隔离

  交换机配置

sys

sys sw1

vlan 12

int g0/0/1

port link-type access

port default vlan 12

int g0/0/2

port link-type access

port default vlan 12

int g0/0/3

port link-type access

port default vlan 12

  验证vlan信息

  验证pc1,pc2,pc3是否能够正常通信?

  提示:可以看到默认情况下在同一vlan下的主机是可以相互通信;并不隔离;

  在交换机上配置pc1和pc2双向端口隔离

  提示:配置双向端口隔离,我们只需把对应需要隔离的端口加入同一隔离组即可;默认不写隔离组就是组1;

  把pc2直连所在端口加入到隔离组

  验证端口隔离信息

  提示:可以看到现在有一个隔离组group1,里面有两个端口分别是g0/0/1和g0/0/2;

  验证:pc1和pc2是否还能正常通信呢?

  提示:可以看到现在pc1和pc2就不能正常通信了;

  在交换机的1口和2口抓包查看其过程

  提示:可以看到做了端口双向隔离以后,在同一vlan下的两台主机就不能正常通信了,其实不能正常通信的最主要原因是通信双方发送的arp对方收不到,所以导致没有通信对方的mac,二层封装就不能完成;

  验证:pc1和pc3是否能正常通信呢?pc2和pc3是否能正常通信呢?

  提示:可以看到pc1和pc3通信,pc2和pc3的通信并不受pc1和pc2所在端口做双向端口隔离的影响;也就是说只有在同一隔离组里的端口通信才会相互隔离;

  在交换机上配置pc1和pc3单向隔离

  提示:上述配置表示pc1所在端口单向隔离pc3,即pc1能将arp发送给pc3,但是pc3回复报文被隔离,pc1收不到pc3的回答;反之pc3发送arp,pc1和pc3做了单向隔离,所以pc3发送的arppc1根本就收不到;

  验证:用pc1pingpc3看看是否能够正常ping通?

  提示:可以看到现在pc1pingpc3提示我们目标主机不可达;其原因是pc1发送的arp广播迟迟没有回复;所以pc1认为pc3不可达;

  在g0/0/1和g0/0/3上抓包,看看通信过程

  提示:可以看到做了单向端口隔离以后,pc1的arp能够正常到达pc3,但是pc3回复的arp被阻断,pc1收不到pc3回复的mac,所以二层封装不能正常完成,所以icmp提示我们目标主机不可达;相反pc3pingpc1,由于之前pc1发送的arp pc3收到了,即pc3拿到了pc1的mac,所以pc3pingpc1的时候是直接封装icmp包发送,并没有先发arp;由于pc1和pc3做了单向端口隔离,所以pc3发送的icmp报文pc1并没有收到,当然也就没有回复报文,所以pc3pingpc1提示超时,并不是目标主机不可达;

  当然端口隔离技术不仅仅限于可管理的二三层交换机上实现,有的傻瓜交换机也有端口隔离,不同的是二三层交换机可以由管理员手动定义端口隔离,而傻瓜交换机的端口隔离是通过一个拨码按钮实现,且不能手动定义端口隔离;如下图所示

HCNP Routing&Switching之端口隔离的更多相关文章

  1. HCNP Routing&Switching之端口安全

    前文我们了解了二层MAC安全相关话题和配置,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16618201.html:今天我们来聊一聊mac安全的综合解决方案端 ...

  2. HCNP Routing&Switching之代理ARP

    前文我们了解了端口隔离相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16186451.html:今天我们来聊一聊ARP代理相关话题: 端口隔离之破解之 ...

  3. HCNP Routing&Switching之MUX VLAN

    前文我们了解了代理ARP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16188230.html:今天我们再来聊一聊vlan隔离相关话题MUX VLA ...

  4. HCNP Routing&Switching之组播技术-IGMP-Snooping

    前文我们了解了组播协议IGMP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15700550.html:今天我们来聊一聊二层交换机处理组播报文所面临的 ...

  5. HCNP Routing&Switching之OSPF网络类型

    前文我们了解了PPPoE协议相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15182512.html:今天我们聊聊一聊OSPF中的网络类型相关话题: ...

  6. HCNP Routing&Switching之OSPF LSA类型

    前文我们了解了OSPF中的虚连接相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15202348.html:今天我们来聊一聊OSPF数据包中LSA类型相 ...

  7. HCNP Routing&Switching之IS-IS报文结构和类型

    前文我们了解了IS-IS动态路由协议基础相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15249328.html:今天我们来聊一聊IS-IS动态路由协 ...

  8. HCNP Routing&Switching之BGP基础

    前文我们了解了路由注入带来的问题以及解决方案相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15362604.html:今天我们来学习下新的路由协议BG ...

  9. HCNP Routing&Switching之BGP报文结构、类型和状态

    前文我们了解了BGP的邻居建立条件.优化以及BGP认证相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15395723.html:今天我们来聊一聊BGP ...

随机推荐

  1. 在Windows11使用WSA运行Google play会遇到的问题

    前提一是要有adb工具 网盘链接:https://pan.baidu.com/s/1MAdq4GsxkW7dqq689d_gQw 提取码:24q2 前提二是会使用 MagiskOnWSA--解决了两个 ...

  2. java 基础知识(三)

    Arraylist与Vector的区别 清浅池塘 程序员,专栏:Java那些事儿唯一作者,咨询前请先点详细资料   162 人赞同了该文章 这几天工作有点忙,有很多代码需要写,更新文章有点慢,说声抱歉 ...

  3. phpstorm chrome 添加xdebug扩展

    转:https://blog.csdn.net/ltcm_sakura/article/details/102967859 一.Xdebug helper:php调试插件 http://chromec ...

  4. Oracle数据库 如何根据某个字段名的值去查询存在的表列表

    declare v_sql varchar2(1000); data_count number; begin -- OWNER是模式名 tablespace_name是表空间 for cur_tabl ...

  5. Ribbon负载均衡能干什么?

    (1)将用户的请求平摊的分配到多个服务上 (2)集中式LB即在服务的消费方和提供方之间使用独立的LB设施(可以是硬件,如F5, 也可以是软件,如nginx), 由该设施负责把访问请求通过某种策略转发至 ...

  6. Kafka 是如何实现高吞吐率的?

    Kafka是分布式消息系统,需要处理海量的消息,Kafka的设计是把所有的消息都写入速度低容量大的硬盘,以此来换取更强的存储能力,但实际上,使用硬盘并没有带来过多的性能损失.kafka主要使用了以下几 ...

  7. 解释 MySQL 外连接、内连接与自连接的区别 ?

    先说什么是交叉连接: 交叉连接又叫笛卡尔积,它是指不使用任何条件,直接将一 个表的所有记录和另一个表中的所有记录一一匹配. 内连接 则是只有条件的交叉连接,根据某个条件筛选出符合条件的记录,不符合 条 ...

  8. springboot项目如何添加热部署

    环境jdk1.8.maven3.6.使用工具为idea 1.在pom.xml文件中添加依赖 <dependency> <groupId>org.springframework. ...

  9. ACM - 图论 - P3385 负环

    P3385 负环 题目描述 给定一个 \(n\) 个点的有向图,请求出图中是否存在从顶点 \(1\) 出发能到达的负环. 负环的定义是:一条边权之和为负数的回路. 输入格式 本题单测试点有多组测试数据 ...

  10. cpu设计过程

    一款CPU是如何设计出来的? 前面一段,我们了解了芯片的制造过程,也就是如何从沙子中提取硅.把硅切成片,在片上通过离子注入实现PN结.实现各种二极管.三极管.CMOS管.从而实现千万门级大规模集成电路 ...