《实验二十一:端口隔离.doc》由会员分享,可在线阅读,更多相关《实验二十一:端口隔离.doc(5页珍藏版)》请在金锄头文库上搜索。
1、实验二十一:端口隔离一、 理论基础1、端口隔离简介通过端口隔离特性,可以实现不同用户的端口属于同一个VLAN,而不同用户之间不能互通。从而增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。通过本实验的配置,使得VLAN内的端口二层隔离,从而该VLAN内的端口间不能进行二层转发,导致属于同一个VLAN的PC1和PC2不能ping通,但通过配置该VLAN内的某个端口为上行端口,从而使得被隔离端口的报文仍然能够通过二层转发出去。2、端口间的二层隔离可以通过下面的命令设置指定VLAN内的端口二层隔离,从而使该VLAN内的端口间不能进行二层转发。在VLAN视图下进行配置。操作命令使
2、能VLAN内的端口二层隔离port-isolate enable取消VLAN内的端口二层隔离undo port-isolate enable缺省情况下,VLAN内的端口二层不隔离,即端口间可以进行二层转发。二、 实验案例 端口隔离的配置1、 实验拓扑结构图:2、 配置说明:PC1的地址:192.168.10.3/24 网关:192.168.10.1 路由器的E0接口PC2的地址:192.168.10.4/24 网关:192.168.10.1 路由器的E0接口PC3的地址:192.168.11.5/24 网关:192.168.11.1 路由器的E1接口Router各个接口的地址分别是:E0:19
3、2.168.10.1 E1:192.168.11.13、 具体配置:交换机的配置:Switchvlan 2Switch-vlan2port e0/1Switch-vlan2port e0/6Switch-vlan2port e0/8Switchint e0/1Switch-Ethernet0/1port link-type trunkSwitch-Ethernet0/1port trunk permit vlan all Please wait. Done.Switchvlan 2Switch-vlan2port-isolate enableSwitchint e0/1Switch-Ether
4、net0/1port-isolate uplink-port vlan 2Switch-Ethernet0/1quitdis cur sysname Switchradius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domaindomain system radius-scheme system access-limit disable state active idle-cu
5、t disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei queue-scheduler wrr 1 2 4 8vlan 1vlan 2port-isolate enableinterface Vlan-interface1 ip address 192.168.10.2 255.255.255.0interface Aux0/0interface Ethernet0/1 port link-typ
6、e trunk port trunk permit vlan allport-isolate uplink-port vlan 2interface Ethernet0/2interface Ethernet0/3interface Ethernet0/4interface Ethernet0/5interface Ethernet0/6 port access vlan 2interface Ethernet0/7interface Ethernet0/8 port access vlan 2interface NULL0user-interface aux 0user-interface
7、vty 0 4 user privilege level 3 set authentication password simple ciscoReturn路由器的配置:Routerint e1Router-Ethernet1ip address 192.168.11.1 255.255.255.0Router-Ethernet0int e0.1Router-Ethernet0.1vlan-type dot1q vid 2Router-Ethernet0.1ip address 192.168.10.1 255.255.255.0Router-Ethernet0.1%20:46:34: Line
8、 protocol ip on the interface Ethernet0.1 is UPRouterdis cur Now create configuration. Current configuration version 1.74 firewall enable aaa-enable aaa accounting-scheme optional interface Aux0 async mode flow link-protocol ppp interface Ethernet0 interface Ethernet0.1 vlan-type dot1q vid 2 ip addr
9、ess 192.168.10.1 255.255.255.0 interface Ethernet1 ip address 192.168.11.1 255.255.255.0 interface Serial0 link-protocol ppp interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp interface Serial3 link-protocol ppp return三、 实验总结隔离时的显示结果(见图)PC1 ping 不通PC2。虽然被隔离了,但是该VLAN内的某个端口为上行端口,从而使得被隔离端口的报文仍然能够通过二层转发出去。此时,从VLAN2中的计算机可以ping通PC3,说明报文可以被上行端口转发出去(见图)
