路由基础之端口隔离和MUX VLAN
source link: https://blog.51cto.com/u_15606213/5358712
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
DHCP接口地址池端口隔离
原理概述:
端口隔离是为了实现 报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离技术也有缺点:
一是计算机之间共享不能实现;
二是隔离只能在一台交换机上实现,不能在堆叠交换机之间实现,如果是堆叠环境,只能改成交换机之间 级连;
实验目的:
以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源。
如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
实验拓扑:
缺省情况下,同属于一个VLAN的PC1和PC2能够二层互通。
将GE0/0/1和GE0/0/2端口部署到同一个端口隔离组,则PC1与PC2无法实现二层互通。
配置命令:
配置DHCP接口地址池:
interface Vlanif10
dhcp select relay
dhcp relay server-ip 192.168.10.1
#
interface Vlanif20
dhcp select relay
dhcp relay server-ip 192.168.20.1
#
interface Vlanif40
dhcp select relay
dhcp relay server-ip 192.168.40.1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 40
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
配置完成后,查看主机是否可以获取到IP地址及相关信息
查看PC1,可以看到已经获取到了IP地址及相关信息
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10
interface Ethernet0/0/1
port link-type access
port default vlan 20
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20
interface Ethernet0/0/1
port link-type access
port default vlan 40
#
interface Ethernet0/0/2
port link-type access
port default vlan 40
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 40
配置完成后查看连通性是否正常
PC3 ping PC4
PC5 ping PC6
端口隔离:
端口隔离组Port-isolate Group
在SW2上接口模式输入:
port-isolate enable group 1
e0/0/2
port-isolate enable group 1
将端口加入到隔离组1,使其之间不能相互通信
PC2的IP地址信息
PC1 ping PC2
请求消息不可达;
MUX VLAN 的配置
原理概述:
在企业网络中,各个部门之间网络需要相互独立,通常用VLAN技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的VLAN技术,不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。
Principal port可以和MUX VLAN内的所有接口进行通信。
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
每个Separate VLAN必须绑定一个Principal VLAN。
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个Group VLAN必须绑定一个Principal VLAN。
实验拓扑:
配置命令:
interface Ethernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/6
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/7
port link-type access
port default vlan 100
port mux-vlan enable
#
vlan 100
mux-vlan
subordinate separate 30
subordinate group 10 20
PC都可以访问服务器
互通性VLAN:
同一个Group之间可以相互通信
不同Group之间不能相互通信
隔离性VLAN:
Seporate VLAN:
实验结束;
备注:如有错误,请谅解!
此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK