HCNP Routing&Switching之端口隔离

　　前文我们了解了组播路由协议稀疏模式中的RP相关话题，回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16154347.html；今天我们来聊一聊二层交换机中有关vlan隔离相关话题；

　　我们知道在二层交换机上划分vlan可以实现将一个广播域划分为多个广播域，从而避免广播域过大而造成的广播风暴；简单讲划分vlan就是隔离广播域；默认情况下在同一广播域的主机，只要有一台pc发送广播，同一广播域中的其他主机也会收到对应广播，这样一来可能造成同一广播域中的主机相互干扰；那有没有一种方法避免同一广播域中的主机互不干扰呢？

　　端口隔离

　　所谓端口隔离就是指在同一vlan内端口之间的隔离，它是交换机端口之间的一种安全访问控制机制，配置端口隔离后，无论是那个vlan都不能互相通信；

sys
sys sw1
vlan 12
int g0/0/1
port link-type access
port default vlan 12
int g0/0/2
port link-type access
port default vlan 12
int g0/0/3
port link-type access
port default vlan 12

　　验证pc1,pc2,pc3是否能够正常通信？

　　提示：可以看到默认情况下在同一vlan下的主机是可以相互通信；并不隔离；

　　在交换机上配置pc1和pc2双向端口隔离

　　提示：配置双向端口隔离，我们只需把对应需要隔离的端口加入同一隔离组即可；默认不写隔离组就是组1；

　　把pc2直连所在端口加入到隔离组

　　验证端口隔离信息

　　提示：可以看到现在有一个隔离组group1，里面有两个端口分别是g0/0/1和g0/0/2；

　　验证：pc1和pc2是否还能正常通信呢？

　　提示：可以看到现在pc1和pc2就不能正常通信了；

　　在交换机的1口和2口抓包查看其过程

　　提示：可以看到做了端口双向隔离以后，在同一vlan下的两台主机就不能正常通信了，其实不能正常通信的最主要原因是通信双方发送的arp对方收不到，所以导致没有通信对方的mac，二层封装就不能完成；

　　验证：pc1和pc3是否能正常通信呢？pc2和pc3是否能正常通信呢？

　　提示：可以看到pc1和pc3通信，pc2和pc3的通信并不受pc1和pc2所在端口做双向端口隔离的影响；也就是说只有在同一隔离组里的端口通信才会相互隔离；

　　在交换机上配置pc1和pc3单向隔离

　　提示：上述配置表示pc1所在端口单向隔离pc3,即pc1能将arp发送给pc3，但是pc3回复报文被隔离，pc1收不到pc3的回答；反之pc3发送arp，pc1和pc3做了单向隔离，所以pc3发送的arppc1根本就收不到；

　　验证：用pc1pingpc3看看是否能够正常ping通？

　　提示：可以看到现在pc1pingpc3提示我们目标主机不可达；其原因是pc1发送的arp广播迟迟没有回复；所以pc1认为pc3不可达；

　　在g0/0/1和g0/0/3上抓包，看看通信过程

　　提示：可以看到做了单向端口隔离以后，pc1的arp能够正常到达pc3,但是pc3回复的arp被阻断，pc1收不到pc3回复的mac，所以二层封装不能正常完成，所以icmp提示我们目标主机不可达；相反pc3pingpc1，由于之前pc1发送的arp pc3收到了，即pc3拿到了pc1的mac，所以pc3pingpc1的时候是直接封装icmp包发送，并没有先发arp；由于pc1和pc3做了单向端口隔离，所以pc3发送的icmp报文pc1并没有收到，当然也就没有回复报文，所以pc3pingpc1提示超时，并不是目标主机不可达；

　　当然端口隔离技术不仅仅限于可管理的二三层交换机上实现，有的傻瓜交换机也有端口隔离，不同的是二三层交换机可以由管理员手动定义端口隔离，而傻瓜交换机的端口隔离是通过一个拨码按钮实现，且不能手动定义端口隔离；如下图所示