[2017年整理]实验二十一：端口隔离.docVIP

实验二十一：端口隔离 理论基础 1、端口隔离简介 通过端口隔离特性，可以实现不同用户的端口属于同一个VLAN，而不同用户之间不能互通。从而增强了网络的安全性，提供了灵活的组网方案，同时节省了大量的VLAN资源。 通过本实验的配置，使得VLAN内的端口二层隔离，从而该VLAN内的端口间不能进行二层转发，导致属于同一个VLAN的PC1和PC2不能ping通，但通过配置该VLAN内的某个端口为上行端口，从而使得被隔离端口的报文仍然能够通过二层转发出去。 2、端口间的二层隔离 可以通过下面的命令设置指定VLAN内的端口二层隔离，从而使该VLAN内的端口间不能进行二层转发。 在VLAN视图下进行配置。 操作 命令 使能VLAN内的端口二层隔离 port-isolate enable 取消VLAN内的端口二层隔离 undo port-isolate enable ?缺省情况下，VLAN内的端口二层不隔离，即端口间可以进行二层转发。 实验案例 端口隔离的配置 实验拓扑结构图： 配置说明： PC1的地址：192.168.10.3/24 网关：192.168.10.1 路由器的E0接口 PC2的地址：192.168.10.4/24 网关：192.168.10.1 路由器的E0接口 PC3的地址：192.168.11.5/24 网关：192.168.11.1 路由器的E1接口 Router各个接口的地址分别是： E0：192.168.10.1 E1：192.168.11.1 具体配置： 交换机的配置： [Switch]vlan 2 [Switch-vlan2]port e0/1 [Switch-vlan2]port e0/6 [Switch-vlan2]port e0/8 [Switch]int e0/1 [Switch-Ethernet0/1]port link-type trunk [Switch-Ethernet0/1]port trunk permit vlan all Please wait........................................... Done. [Switch]vlan 2 [Switch-vlan2]port-isolate enable [Switch]int e0/1 [Switch-Ethernet0/1]port-isolate uplink-port vlan 2 [Switch-Ethernet0/1]quit Switchdis cur sysname Switch radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei queue-scheduler wrr 1 2 4 8 vlan 1 vlan 2 port-isolate enable interface Vlan-interface1 ip address 192.168.10.2 255.255.255.0 interface Aux0/0 interface Ethernet0/1 port link-type trunk port trunk permit vlan all port-isolate uplink-port vlan 2 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 port access vlan 2 interface Ethernet0/7 interface Ethernet0/8 port access vlan 2 interface NULL0 user-interface aux 0 user-interface vty 0 4 user privilege level 3 set authentication passwor