连接同一交换机的主机可以通过交换机端口配置不同的vlan进行隔离。但是如果数量过多会造成vlan压力(如企业中的用户超过4094)。
port-isolate mode l2
实现二层隔离:
通过端口隔离的方式在二层实现隔离:如把端口1和端口2都放进同一隔离组。两端口所连接主机实现隔离。
VLAN Proxy ARP
arp-proxy inner-sub-vlan-proxy enable
不考虑路由而使用vlanif实现三层互通:(三层交换机)
需要在三层交换机中配置vlanif接口,并配置ip地址和pc1(10.1.1.1)pc2(10.1.1.12)处于同一网络:比如vlanif(10.1.1.254),还要开启代理arp功能,这时pc1和2可以互访。
原理:通过vlanif接口,pc1发arp请求到三层设备的vlanif接口,vlanif开启了arp代理功能,它代理pc1去请求pc2,然后以自己的vlanif接口去告知pc1。实现两者互访。
如果你需要二三层都隔离,直接用port-isolate mode all就可以实现。