3.端口隔离——隔离模式对比

一、前言

在前面我们开始了以太网安全相关的内容分享，分享的第一项是端口隔离，在端口隔离中，我们分别分享了L2隔离模式和ALL隔离模式的配置。从表面上来看，L2模式和ALL模式的配置差别不大，包括最后的效果也差别不大，那它们的区别到底在哪里呢？这就是我们今天要分享的内容。

二、实验

1.网络拓扑图的创建

2.终端设备的IP地址配置

3.端口隔离配置

LSW1

配置指令：

vlan batch 10 # 创建名为10的vlan port-group 1 # 创建一个接口组 group-member g0/0/1 to g0/0/3 # 将接口g0/0/1到g0/0/3加入接口组 port link-type access # 配置接口组中的接口模式为access port default vlan 10 # 将接口组中的接口加入vlan10 port-isolate mode l2 # 配置端口隔离模式为l2 interface g0/0/1 # 进入接口g0/0/1 port-isolate enable group 10 # 将接口配置进入隔离组10 interface g0/0/2 # 进入接口g0/0/2 port-isolate enable group 10 # 将接口配置进入隔离组10

配置图：

LSW2

配置指令：

vlan batch 10 # 创建名为10的vlan port-group 1 # 创建一个接口组 group-member g0/0/1 to g0/0/3 # 将接口g0/0/1到g0/0/3加入接口组 port link-type access # 配置接口组中的接口模式为access port default vlan 10 # 将接口组中的接口加入vlan10 port-isolate mode all # 配置端口隔离模式为l2 interface g0/0/1 # 进入接口g0/0/1 port-isolate enable group 10 # 将接口配置进入隔离组10 interface g0/0/2 # 进入接口g0/0/2 port-isolate enable group 10 # 将接口配置进入隔离组10

配置图：

4.通过VLANIF启用ARP代理

LSW1、LSW2

配置指令：

interface vlanif 10 # 创建并进入vlanif10逻辑接口 ip address 192.168.1.254 24 # 配置接口的ip地址为192.168.1.254/24，作为网关 arp-proxy inner-sub-vlan-proxy enable # 在vlan10的vlanif10接口上开启arp代理

配置图：

配置到此，整个实验配置环节就结束了，接下来进行实验检验环节。

三、实验检验

从上面的配置我们可用看出，我们为两组网络分别配置了端口隔离的不同模式，一个为L2，一个为ALL。而通过之前的分享我们知道，在该两种模式下，都是实现了隔离组内的不可通信，而隔离组内的设备能与PC3通信，看不出来L2模式和ALL模式的差别。而我们通过配置交换机上的VLANIF接口进行ARP代理之后就可用看出差别。

L2模式：

ALL模式：

通过上面的测试，我们可用看到，两种不同的端口隔离模式，在配置VLANIF接口的ARP代理之后，L2模式下实现了隔离组内通讯，而ALL模式隔离组内依旧不可通讯。那这是怎么回事呢？

因为L2模式是实现了二层隔离三层互通，而配置了VLANIF接口的ARP代理之后实现了隔离组内互通。而ALL模式是实现了二层、三层的全隔离，因此在同样配置了ARP代理之后隔离组内依然无法通讯。（而二层指的是数据链路层，三层指的是网络层）

四、差错处理

1.VLAN划分的查询

LSW1、LSW2

2.端口隔离配置查询

LSW1、LSW2

3.VLANIF配置查询

4.其他

注意ARP代理的配置也就是“arp-proxy inner-sub-vlan-proxy enable”的配置，这是实现实验对比的关键。

五、总结

今天我们主要分享了关于端口隔离L2模式和ALL模式的区别在什么地方。

谢谢大家的观看，咱下次再见。