DHCP接口地址池端口隔离

原理概述:

端口隔离是为了实现​报文​之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离技术也有缺点:

一是计算机之间共享不能实现;

二是隔离只能在一台交换机上实现,不能在堆叠交换机之间实现,如果是堆叠环境,只能改成交换机之间级连


实验目的:

以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。

大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源。

如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?

采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

实验拓扑:

路由基础之端口隔离和MUX VLAN_MUX VLAN

缺省情况下,同属于一个VLAN的PC1和PC2能够二层互通。

将GE0/0/1和GE0/0/2端口部署到同一个端口隔离组,则PC1与PC2无法实现二层互通。

配置命令:

配置DHCP接口地址池:

SW1:

#
interface Vlanif10
dhcp select relay
dhcp relay server-ip 192.168.10.1
#
interface Vlanif20
dhcp select relay
dhcp relay server-ip 192.168.20.1
#
interface Vlanif40
dhcp select relay
dhcp relay server-ip 192.168.40.1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 40
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094

配置完成后,查看主机是否可以获取到IP地址及相关信息

查看PC1,可以看到已经获取到了IP地址及相关信息

路由基础之端口隔离和MUX VLAN_MUX VLAN_02

SW2:

#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10

SW3:

#
interface Ethernet0/0/1
port link-type access
port default vlan 20
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20

SW4:

#
interface Ethernet0/0/1
port link-type access
port default vlan 40
#
interface Ethernet0/0/2
port link-type access
port default vlan 40
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 40

配置完成后查看连通性是否正常

PC3 ping PC4

路由基础之端口隔离和MUX VLAN_MUX VLAN_03

PC5 ping PC6

路由基础之端口隔离和MUX VLAN_MUX VLAN_04

端口隔离:

端口隔离组Port-isolate Group

在SW2上接口模式输入:

e0/0/1
port-isolate enable group 1
e0/0/2
port-isolate enable group 1

将端口加入到隔离组1,使其之间不能相互通信

PC2的IP地址信息

路由基础之端口隔离和MUX VLAN_端口隔离_05

PC1 ping PC2

路由基础之端口隔离和MUX VLAN_MUX VLAN_06

请求消息不可达;

实验结束

MUX VLAN 的配置

原理概述:

在企业网络中,各个部门之间网络需要相互独立,通常用VLAN技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的VLAN技术,不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。

MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。

MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。

Principal port可以和MUX VLAN内的所有接口进行通信。

Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。

每个Separate VLAN必须绑定一个Principal VLAN。

Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。

每个Group VLAN必须绑定一个Principal VLAN。


实验拓扑:

路由基础之端口隔离和MUX VLAN_端口隔离_07


配置命令:

SW:

#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/6
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/7
port link-type access
port default vlan 100
port mux-vlan enable
#
vlan 100
mux-vlan
subordinate separate 30
subordinate group 10 20

路由基础之端口隔离和MUX VLAN_端口隔离_08

PC都可以访问服务器

路由基础之端口隔离和MUX VLAN_端口隔离_09

互通性VLAN:

同一个Group之间可以相互通信

路由基础之端口隔离和MUX VLAN_端口隔离_10

不同Group之间不能相互通信

路由基础之端口隔离和MUX VLAN_MUX VLAN_11

隔离性VLAN:

Seporate VLAN:

路由基础之端口隔离和MUX VLAN_端口隔离_12

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人