一、前言
在前面我们开始了以太网安全相关的内容分享,分享的第一项是端口隔离,在端口隔离中,我们分别分享了L2隔离模式和ALL隔离模式的配置。从表面上来看,L2模式和ALL模式的配置差别不大,包括最后的效果也差别不大,那它们的区别到底在哪里呢?这就是我们今天要分享的内容。
二、实验
1.网络拓扑图的创建
2.终端设备的IP地址配置
| 终端设备 | IP地址 | 网关 |
|---|---|---|
| PC1 | 192.168.1.1 | 192.168.1.254 |
| PC2 | 192.168.1.2 | 192.168.1.254 |
| PC3 | 192.168.1.3 | 192.168.1.254 |
| PC4 | 192.168.1.4 | 192.168.1.254 |
| PC5 | 192.168.1.5 | 192.168.1.254 |
| PC6 | 192.168.1.6 | 192.168.1.254 |
3.端口隔离配置
LSW1
配置指令:
vlan batch 10 # 创建名为10的vlan port-group 1 # 创建一个接口组 group-member g0/0/1 to g0/0/3 # 将接口g0/0/1到g0/0/3加入接口组 port link-type access # 配置接口组中的接口模式为access port default vlan 10 # 将接口组中的接口加入vlan10 port-isolate mode l2 # 配置端口隔离模式为l2 interface g0/0/1 # 进入接口g0/0/1 port-isolate enable group 10 # 将接口配置进入隔离组10 interface g0/0/2 # 进入接口g0/0/2 port-isolate enable group 10 # 将接口配置进入隔离组10配置图:
LSW2
配置指令:
vlan batch 10 # 创建名为10的vlan port-group 1 # 创建一个接口组 group-member g0/0/1 to g0/0/3 # 将接口g0/0/1到g0/0/3加入接口组 port link-type access # 配置接口组中的接口模式为access port default vlan 10 # 将接口组中的接口加入vlan10 port-isolate mode all # 配置端口隔离模式为l2 interface g0/0/1 # 进入接口g0/0/1 port-isolate enable group 10 # 将接口配置进入隔离组10 interface g0/0/2 # 进入接口g0/0/2 port-isolate enable group 10 # 将接口配置进入隔离组10配置图:
4.通过VLANIF启用ARP代理
LSW1、LSW2
配置指令:
interface vlanif 10 # 创建并进入vlanif10逻辑接口 ip address 192.168.1.254 24 # 配置接口的ip地址为192.168.1.254/24,作为网关 arp-proxy inner-sub-vlan-proxy enable # 在vlan10的vlanif10接口上开启arp代理配置图:
配置到此,整个实验配置环节就结束了,接下来进行实验检验环节。
三、实验检验
从上面的配置我们可用看出,我们为两组网络分别配置了端口隔离的不同模式,一个为L2,一个为ALL。而通过之前的分享我们知道,在该两种模式下,都是实现了隔离组内的不可通信,而隔离组内的设备能与PC3通信,看不出来L2模式和ALL模式的差别。而我们通过配置交换机上的VLANIF接口进行ARP代理之后就可用看出差别。
L2模式:
ALL模式:
通过上面的测试,我们可用看到,两种不同的端口隔离模式,在配置VLANIF接口的ARP代理之后,L2模式下实现了隔离组内通讯,而ALL模式隔离组内依旧不可通讯。那这是怎么回事呢?
因为L2模式是实现了二层隔离三层互通,而配置了VLANIF接口的ARP代理之后实现了隔离组内互通。而ALL模式是实现了二层、三层的全隔离,因此在同样配置了ARP代理之后隔离组内依然无法通讯。(而二层指的是数据链路层,三层指的是网络层)
四、差错处理
1.VLAN划分的查询
LSW1、LSW2
2.端口隔离配置查询
LSW1、LSW2
3.VLANIF配置查询
4.其他
注意ARP代理的配置也就是“arp-proxy inner-sub-vlan-proxy enable”的配置,这是实现实验对比的关键。
五、总结
今天我们主要分享了关于端口隔离L2模式和ALL模式的区别在什么地方。
谢谢大家的观看,咱下次再见。
