前文我们了解了组播路由协议稀疏模式中的RP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16154347.html;今天我们来聊一聊二层交换机中有关vlan隔离相关话题;

  我们知道在二层交换机上划分vlan可以实现将一个广播域划分为多个广播域,从而避免广播域过大而造成的广播风暴;简单讲划分vlan就是隔离广播域;默认情况下在同一广播域的主机,只要有一台pc发送广播,同一广播域中的其他主机也会收到对应广播,这样一来可能造成同一广播域中的主机相互干扰;那有没有一种方法避免同一广播域中的主机互不干扰呢?

  端口隔离

  所谓端口隔离就是指在同一vlan内端口之间的隔离,它是交换机端口之间的一种安全访问控制机制,配置端口隔离后,无论是那个vlan都不能互相通信;

  提示:如上图所示,pc1和pc2同属于vlan10,在没有配置端口隔离pc1和pc2可以通过交换机 相互通信,即fa0/1和fa0/2可以相互转发数据;配置了端口隔离以后pc1和pc2就不能相互通信了;当然pc1和pc2都可以和gi0/1接口通信;

  双向端口隔离

  提示:双向隔离是指在同一隔离组的端口两两相互隔离;报文不能达到通信双方的任何一端;

  单向端口隔离

  提示:单向隔离是某一端口到另一些端口的单向隔离;报文只能从某一个方向发送到对端;

  实验:如下图所示,配置双向隔离和单向隔离

  实验环境:在一个交换机上有三台主机,它们同属vlan12,在交换机上配置实现,pc1和pc2双向隔离,pc1到pc3单向隔离

  交换机配置

sys

sys sw1

vlan 12

int g0/0/1

port link-type access

port default vlan 12

int g0/0/2

port link-type access

port default vlan 12

int g0/0/3

port link-type access

port default vlan 12

  验证vlan信息

  验证pc1,pc2,pc3是否能够正常通信?

  提示:可以看到默认情况下在同一vlan下的主机是可以相互通信;并不隔离;

  在交换机上配置pc1和pc2双向端口隔离

  提示:配置双向端口隔离,我们只需把对应需要隔离的端口加入同一隔离组即可;默认不写隔离组就是组1;

  把pc2直连所在端口加入到隔离组

  验证端口隔离信息

  提示:可以看到现在有一个隔离组group1,里面有两个端口分别是g0/0/1和g0/0/2;

  验证:pc1和pc2是否还能正常通信呢?

  提示:可以看到现在pc1和pc2就不能正常通信了;

  在交换机的1口和2口抓包查看其过程

  提示:可以看到做了端口双向隔离以后,在同一vlan下的两台主机就不能正常通信了,其实不能正常通信的最主要原因是通信双方发送的arp对方收不到,所以导致没有通信对方的mac,二层封装就不能完成;

  验证:pc1和pc3是否能正常通信呢?pc2和pc3是否能正常通信呢?

  提示:可以看到pc1和pc3通信,pc2和pc3的通信并不受pc1和pc2所在端口做双向端口隔离的影响;也就是说只有在同一隔离组里的端口通信才会相互隔离;

  在交换机上配置pc1和pc3单向隔离

  提示:上述配置表示pc1所在端口单向隔离pc3,即pc1能将arp发送给pc3,但是pc3回复报文被隔离,pc1收不到pc3的回答;反之pc3发送arp,pc1和pc3做了单向隔离,所以pc3发送的arppc1根本就收不到;

  验证:用pc1pingpc3看看是否能够正常ping通?

  提示:可以看到现在pc1pingpc3提示我们目标主机不可达;其原因是pc1发送的arp广播迟迟没有回复;所以pc1认为pc3不可达;

  在g0/0/1和g0/0/3上抓包,看看通信过程

  提示:可以看到做了单向端口隔离以后,pc1的arp能够正常到达pc3,但是pc3回复的arp被阻断,pc1收不到pc3回复的mac,所以二层封装不能正常完成,所以icmp提示我们目标主机不可达;相反pc3pingpc1,由于之前pc1发送的arp pc3收到了,即pc3拿到了pc1的mac,所以pc3pingpc1的时候是直接封装icmp包发送,并没有先发arp;由于pc1和pc3做了单向端口隔离,所以pc3发送的icmp报文pc1并没有收到,当然也就没有回复报文,所以pc3pingpc1提示超时,并不是目标主机不可达;

  当然端口隔离技术不仅仅限于可管理的二三层交换机上实现,有的傻瓜交换机也有端口隔离,不同的是二三层交换机可以由管理员手动定义端口隔离,而傻瓜交换机的端口隔离是通过一个拨码按钮实现,且不能手动定义端口隔离;如下图所示

HCNP Routing&Switching之端口隔离的更多相关文章

  1. HCNP Routing&Switching之端口安全

    前文我们了解了二层MAC安全相关话题和配置,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16618201.html:今天我们来聊一聊mac安全的综合解决方案端 ...

  2. HCNP Routing&Switching之代理ARP

    前文我们了解了端口隔离相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16186451.html:今天我们来聊一聊ARP代理相关话题: 端口隔离之破解之 ...

  3. HCNP Routing&Switching之MUX VLAN

    前文我们了解了代理ARP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16188230.html:今天我们再来聊一聊vlan隔离相关话题MUX VLA ...

  4. HCNP Routing&Switching之组播技术-IGMP-Snooping

    前文我们了解了组播协议IGMP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15700550.html:今天我们来聊一聊二层交换机处理组播报文所面临的 ...

  5. HCNP Routing&Switching之OSPF网络类型

    前文我们了解了PPPoE协议相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15182512.html:今天我们聊聊一聊OSPF中的网络类型相关话题: ...

  6. HCNP Routing&Switching之OSPF LSA类型

    前文我们了解了OSPF中的虚连接相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15202348.html:今天我们来聊一聊OSPF数据包中LSA类型相 ...

  7. HCNP Routing&Switching之IS-IS报文结构和类型

    前文我们了解了IS-IS动态路由协议基础相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15249328.html:今天我们来聊一聊IS-IS动态路由协 ...

  8. HCNP Routing&Switching之BGP基础

    前文我们了解了路由注入带来的问题以及解决方案相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15362604.html:今天我们来学习下新的路由协议BG ...

  9. HCNP Routing&Switching之BGP报文结构、类型和状态

    前文我们了解了BGP的邻居建立条件.优化以及BGP认证相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15395723.html:今天我们来聊一聊BGP ...

随机推荐

  1. C++中的RAII介绍

    摘要 RAII技术被认为是C++中管理资源的最佳方法,进一步引申,使用RAII技术也可以实现安全.简洁的状态管理,编写出优雅的异常安全的代码. 资源管理 RAII是C++的发明者Bjarne Stro ...

  2. 解释AOP?

    面向切面的编程,或AOP, 是一种编程技术,允许程序模块化横向切割关注点,或横切典型的责任划分,如日志和事务管理.

  3. 什么是Spring Cloud Bus?

    spring cloud bus 将分布式的节点用轻量的消息代理连接起来,它可以用于广播配置文件的更改或者服务直接的通讯,也可用于监控. 如果修改了配置文件,发送一次请求,所有的客户端便会重新读取配置 ...

  4. JdbcTemplate?

    JdbcTemplate 类提供了很多便利的方法解决诸如把数据库数据转变成基本数据类型或对象,执行写好的或可调用的数据库操作语句,提供自定义的数据错误处理.

  5. 静态嵌套类(Static Nested Class)和内部类(Inner Class) 的不同?

    Static Nested Class 是被声明为静态(static)的内部类,它可以不依赖于外部类 实例被实例化.而通常的内部类需要在外部类实例化后才能实例化,其语法看起 来挺诡异的,如下所示. / ...

  6. mysql问题排查与性能优化

     MySQL 问题排查都有哪些手段? 使用 show processlist 命令查看当前所有连接信息. 使用 explain 命令查询 SQL 语句执行计划. 开启慢查询日志,查看慢查询的 SQL. ...

  7. Netty学习摘记 —— Netty客户端 / 服务端概览

    本文参考 本篇文章是对<Netty In Action>一书第二章"你的第一款 Netty 应用程序"的学习摘记,主要内容为编写 Echo 服务器和客户端 第一款应用程 ...

  8. 7_线性控制器设计(Linear Controller Design)

    开环系统中 状态方程,其中A的特征值将决定这个系统的表现(稳定性或者收敛速度:特征值小于0时系统稳定) 如果开环系统特征值大于0时(即系统不稳定时): 可以引入输入量U时(U是关于状态变量X的函数), ...

  9. 12_PID控制器_Matlab/Simulink仿真

    加入噪音后,查看p控制.pi控制.以及pid控制的结果 p控制和pi控制输出 pid控制的输出(微分对高频噪音比较敏感)

  10. Vue2.0一个login跳转实例

    需要解决的问题:store存储登录状态Vue-Router导航钩子拦截路由Vue-Resource获取后台的数据需要判断登录返回的user源码参考原文地址 主要技术栈:Vuex + Vue-Resou ...