端口隔离技术
端口隔离主要应用在同一个vlan内,不同的用户之间不可互相访问
好处:
可以避免广播风暴,节约了vlan的资源,提高了用户之间的安全性
比如一个用户的电脑中病毒了,不会影响到其他用户
端口隔离是基于端口,和mac地址,ip地址以及数据包的结构没有关系
实验拓扑:
三个用户都属于同一个vlan,但是现在有三个需求:
1)用户1和用户2之间不可以互相访问
port-isolate enable
在g0/0/1和g0/0/2端口输入这条指令后,user1和user2之间无法ping通,并且双方都获取不到对方的arp,通过抓包可以发现,g0/0/1和g0/0/2只有自己发出的arp请求,但是二者都可以访问user3
2)user1可以访问user3,但是user3不能访问user1
int g0/0/3
am isolate g0/0/1
在g0/0/3的角度,我开启了端口隔离,我对g0/0/1反感,不想我发的包被g0/0/1知道,反过来,在g0/0/1角度,我可以访问g0/0/3,我不反感g0/0/3
所以user1的包是可以发到user3,并且user3可以获取user1的mac,但是user3回应的包到达g0/0/3就被堵住了,通过抓包也可以观察到
3)用户2和用户3之间可以正常访问
不用任何配置,他们原本属于同一vlan,同一网段就是可以互相访问的
通过命令:dis port-isolate group all 可以查看端口隔离的状况
没有分组的话默认就是group1
