华为-端口隔离实验详解

希望有需要的小伙伴可以参考参考，如有误解、请指正！

一、实验原理

端口隔离：

• 实现同一VLAN内端口之间的隔离（限制同一广播域内的端口之间的访问）；
• 配置端口隔离之后，无论哪个VALN，都不能相互通信。

二、实验拓扑

描述：在同一VLAN（广播域）内连接着三台通网段的PC：10.0.0.X/8

三、实验详解

1.基本配置：

PC1：10.0.0.1/8

PC2：10.0.0.2/8

PC3：10.0.0.3/8

2.配置验证：

交换机暂未配置，此时三台PC之间是可以相互Ping通：

3.双向隔离：

要求：PC1与PC2不能互通；

解析：需实现双向隔离，我们可以将PC1与PC2加入同一个隔离组中，为实现隔离，我们需要将G0/0/1与G0/0/2口都加入同一个隔离组中，默认为Group 1，取值范围为<1-64>；

SW1:

interface GigabitEthernet0/0/1

 port-isolate enable group 1

#

//将一个接口接入隔离组后PC1与PC2是可以正常通信的；

interface GigabitEthernet0/0/2

 port-isolate enable group 1

//将G0/0/2加入后此时出现超时，如下所示：

此时实验配置完成。

4.单向隔离：

要求：PC1可以Ping通PC3，但是PC3Ping不通PC1；

解析：为实现单项访问限制，需要在PC3的G0/0/3接口上单向隔离PC1的G0/0/1口

#

interface GigabitEthernet0/0/3

 am isolate GigabitEthernet0/0/1

#

此时PC1Ping不通PC3，PC3也Ping不通PC1，但是通过抓包你会发现，两边Ping不通的提示不一样的，为什么呢？

PC1：

PC3:

解析：PC1想要Ping通PC3，首先需要发起ARP，ARP报文过得去但是回不来，导致PC1获取不到PC3的MAC地址，所以PC1封装不了数据包；

G0/0/1：

抓包可以看到ARP报文在G0/0/1有去的没有返回的包

G0/0/3:

但是在G0/0/3口上你会发现有去的包，那么为什么会有回的包呢，是因为此前PC1pingPC3的时候，PC3学习到了PC1的MAC地址。

5.思考：

这个方案是否完美呢？假如给交换机配置一个VLANIF接口，地址配置在与PC同一个网段呢？此时PC间还会ping的通吗？

欢迎观看下节代理ARP技术实验原理，如有错误请指正！