一、前言
在前面我们讲述到我们已经开始进入了HCIP相关知识的学习,而我们首要学习的内容就是以太网安全。而上次我们就分享了关于以太网安全的知识之一的端口隔离,通过网络拓扑实验的方式展现了在设备默认配置状态下(缺省)通过配置端口隔离为L2模式实现隔离组内的二层隔离。而今天我们分享的是关于端口隔离的ALL隔离模式。
二、实验
1.网络拓扑结构的搭建
创建如上图所示的网络拓扑结构。共使用到1台交换机,3台PC机。
实验目标:我们要实现的是将PC1和PC2划分进入隔离组,以实现其的二层、三层通信的隔离。
2.终端设备的IP地址配置
PC1:
PC2:
PC3:
3.VLAN的创建及划分
LSW1
指令配置:
bash
vlan batch 2 # 创建一个名为2的vlan
port-group 1 # 创建一个名为1的接口组
group-member gigabitethernet 0/0/1 to gigabitethernet0/0/3 # 将千兆以太网接口g0/0/1到g0/0/3划入该接口组,gigabitethernet可简写为g
port link-type access # 配置接口组内接口模式为access模式
port default vlan 2 # 将这些接口划分进入vlan2配置图:
4.端口隔离配置
LSW1
指令配置:
bash
port-isolate mode all # 配置端口隔离模式为all
port-group 2 # 创建一个名为2的接口组
group-member gigabitethernet0/0/1 gigabitethernet0/0/2 # 将g0/0/1和g0/0/2两个千兆以太网接口加入到接口组
port-isolate enable group 2 # 将接口组中的接口加入到名为2的端口隔离组配置图:
配置到此,整个实验操作环节就结束了。接下来进行实验结果检验环节。
三、实验检验
PC1 --->PC2、PC3
PC2 --->PC1、PC3
通过连通性测试我们发现,PC1和PC2由于在同一隔离组内,无法实现通讯。而处于同一VLAN2下、不在隔离组中的PC3,PC1和PC2都能实现与它的连通。说明我们的配置无误,实验成功。
四、差错处理
1.终端设备IP地址配置正确
PC1: IP地址:10.1.1.1/24
PC1: IP地址:10.1.1.2/24
PC1: IP地址:10.1.1.3/24
2.VLAN划分查询
3.端口隔离组查询
五、总结
今天我们主要继上一次的端口隔离L2模式分享后,又分享了一端口隔离模式ALL,而通过这两次的分享,我们发现它们在实现的效果上好像并没有什么差别,而这正是下一次我们要分享的内容。
感谢大家的观看,咱下次再见。