端口隔离的原理与配置
前言
- 为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。
- 而端口隔离功能可以实现同一VLAN内端口之间的隔离。
- 用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。
- 端口隔离功能为用户提供了更安全、更灵活的组网方案。
一、实验搭建
实验的拓扑如下:
需求:
- 外来访客之间不能互访,但可以与内部员工之间互访
- PC全部划分在VLAN10,网段为10.0.10.0/24
1.1 端口隔离的配置
将外来访客加入到隔离组1即可,注意不同隔离组之间是可以互访的,只是隔离组内部是不可以相互访问的
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]di th
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
return
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]di th
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1
#
return
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]di th
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-isolate enable group 1
#
return
对于SW1来说,就正常的把端口划分在VLAN10中即可
[SW2-GigabitEthernet0/0/1]di th
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
return
查看隔离端口的情况
1.2 验证测试
1、外来访客之间互访
2、外来访客访问内部员工
3、再增加一个隔离组2,验证不同隔离组之间是否可以互访
测试:
可见,不同隔离组之间是可以互访的
二、分析
- 注意端口隔离的应用场景
- 隔离组内的成员是不是永远不能互访?
不是的,可以修改隔离的模式,二层隔离三层互通、二三层都隔离