前文我們瞭解了組播路由協議稀疏模式中的RP相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/16154347.html;今天我們來聊一聊二層交換機中有關vlan隔離相關話題;
我們知道在二層交換機上劃分vlan可以實現將一個廣播域劃分為多個廣播域,從而避免廣播域過大而造成的廣播風暴;簡單講劃分vlan就是隔離廣播域;預設情況下在同一廣播域的主機,只要有一臺pc傳送廣播,同一廣播域中的其他主機也會收到對應廣播,這樣一來可能造成同一廣播域中的主機相互干擾;那有沒有一種方法避免同一廣播域中的主機互不干擾呢?
埠隔離
所謂埠隔離就是指在同一vlan內埠之間的隔離,它是交換機埠之間的一種安全訪問控制機制,配置埠隔離後,無論是那個vlan都不能互相通訊;
提示:如上圖所示,pc1和pc2同屬於vlan10,在沒有配置埠隔離pc1和pc2可以通過交換機 相互通訊,即fa0/1和fa0/2可以相互轉發資料;配置了埠隔離以後pc1和pc2就不能相互通訊了;當然pc1和pc2都可以和gi0/1介面通訊;
雙向埠隔離
提示:雙向隔離是指在同一隔離組的埠兩兩相互隔離;報文不能達到通訊雙方的任何一端;
單向埠隔離
提示:單向隔離是某一埠到另一些埠的單向隔離;報文只能從某一個方向傳送到對端;
實驗:如下圖所示,配置雙向隔離和單向隔離
實驗環境:在一個交換機上有三臺主機,它們同屬vlan12,在交換機上配置實現,pc1和pc2雙向隔離,pc1到pc3單向隔離
交換機配置
sys sys sw1 vlan 12 int g0/0/1 port link-type access port default vlan 12 int g0/0/2 port link-type access port default vlan 12 int g0/0/3 port link-type access port default vlan 12
驗證vlan資訊
驗證pc1,pc2,pc3是否能夠正常通訊?
提示:可以看到預設情況下在同一vlan下的主機是可以相互通訊;並不隔離;
在交換機上配置pc1和pc2雙向埠隔離
提示:配置雙向埠隔離,我們只需把對應需要隔離的埠加入同一隔離組即可;預設不寫隔離組就是組1;
把pc2直連所在埠加入到隔離組
驗證埠隔離資訊
提示:可以看到現在有一個隔離組group1,裡面有兩個埠分別是g0/0/1和g0/0/2;
驗證:pc1和pc2是否還能正常通訊呢?
提示:可以看到現在pc1和pc2就不能正常通訊了;
在交換機的1口和2口抓包檢視其過程
提示:可以看到做了埠雙向隔離以後,在同一vlan下的兩臺主機就不能正常通訊了,其實不能正常通訊的最主要原因是通訊雙方傳送的arp對方收不到,所以導致沒有通訊對方的mac,二層封裝就不能完成;
驗證:pc1和pc3是否能正常通訊呢?pc2和pc3是否能正常通訊呢?
提示:可以看到pc1和pc3通訊,pc2和pc3的通訊並不受pc1和pc2所在埠做雙向埠隔離的影響;也就是說只有在同一隔離組裡的埠通訊才會相互隔離;
在交換機上配置pc1和pc3單向隔離
提示:上述配置表示pc1所在埠單向隔離pc3,即pc1能將arp傳送給pc3,但是pc3回覆報文被隔離,pc1收不到pc3的回答;反之pc3傳送arp,pc1和pc3做了單向隔離,所以pc3傳送的arppc1根本就收不到;
驗證:用pc1pingpc3看看是否能夠正常ping通?
提示:可以看到現在pc1pingpc3提示我們目標主機不可達;其原因是pc1傳送的arp廣播遲遲沒有回覆;所以pc1認為pc3不可達;
在g0/0/1和g0/0/3上抓包,看看通訊過程
提示:可以看到做了單向埠隔離以後,pc1的arp能夠正常到達pc3,但是pc3回覆的arp被阻斷,pc1收不到pc3回覆的mac,所以二層封裝不能正常完成,所以icmp提示我們目標主機不可達;相反pc3pingpc1,由於之前pc1傳送的arp pc3收到了,即pc3拿到了pc1的mac,所以pc3pingpc1的時候是直接封裝icmp包傳送,並沒有先發arp;由於pc1和pc3做了單向埠隔離,所以pc3傳送的icmp報文pc1並沒有收到,當然也就沒有回覆報文,所以pc3pingpc1提示超時,並不是目標主機不可達;
當然埠隔離技術不僅僅限於可管理的二三層交換機上實現,有的傻瓜交換機也有埠隔離,不同的是二三層交換機可以由管理員手動定義埠隔離,而傻瓜交換機的埠隔離是通過一個撥碼按鈕實現,且不能手動定義埠隔離;如下圖所示
