接口配置錦囊妙計之端口隔離

默認狀況下，三個大營能夠互相訪問。如今，丞相要求我們在不改變我
軍網段規劃和 VLAN 規劃的狀況下，實現：1) 中軍大營和士兵大營不能互相訪
問； 2） 中軍大營能夠訪問輜重大營，但輜重大營不能訪問中軍大營，且輜重
大營和士兵大營始終能夠互相訪問。

以下圖所示，在交換機上將端口 GE0/0/1 和 GE0/0/2 加入同一個端口隔離組，
GE0/0/3 不加入端口隔離組或者加入另外一個端口隔離組就 OK 了。

端口隔離組

配置步驟以下：
<Huawei> system-view
[Huawei] sysname Switch
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端
口隔離組5
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] port-isolate enable group 5 //端口GE0/0/2加入到端
口隔離組5
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10 //端口GE0/0/3不加入端口
隔離組
[Switch-GigabitEthernet0/0/3] quit
完成配置後，端口 GE0/0/1 和 GE0/0/2 就加入同一個端口隔離組，端口 GE0/0/3
不加入任何端口隔離組。這樣，中軍大營和士兵大營就不能互相訪問了，但中軍
大營和輜重大營、士兵大營和輜重大營仍然能夠互相訪問。

如何查看端口隔離組的配置信息呢？
執行命令 display port-isolate group { group-id | all }命令就能夠查看端口隔離組的
配置信息啦。

要實現中軍大營能夠訪問輜重大營，但輜重大營不能訪問中軍大營，
就能夠使用單向隔離功能。以下圖所示，在端口 GE0/0/3 上配置單向隔離功能，
並指定隔離的端口是 GE0/0/1，這樣，GE0/0/3上發出的報文不能到達 GE0/0/1，
而 GE0/0/1 發出的報文能夠到達 GE0/0/3，從而實現中軍大營能夠訪問輜重大
營，但輜重大營不能訪問中軍大營。

單向隔離

配置步驟以下：
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1 //在GE0/0/3上配置
端口隔離功能，並指定隔離的端口是GE0/0/1
[Switch-GigabitEthernet0/0/3] quit
配置單向隔離大功告成，看，就是這麼簡單！」

端口隔離模式

端口 GE0/0/1 與端口 GE0/0/2 如今是二層隔離，雖然 ARP 啥的沒法透

傳過來，可是經過 VLAN 內 Proxy ARP 功能，中軍大營與士兵大營仍然可以藉助
本身的網關實現三層互訪，這就是所謂的二層隔離可是三層不隔離。」

以下圖所示，取中軍大營的主機 PC1 和士兵大營中的主機 PC2，在 PC1
和 PC2 加入同一個端口隔離組條件下，用 PC1 和 PC2 互相 Ping 對方，結果二者
沒法互相 Ping 通，說明端口隔離功能起了做用。

在 PC1 Ping PC2 的過程當中，在交換機上抓取通過 GE0/0/1 和 GE0/0/2 的報文。
GE0/0/1 的抓包信息如圖所示：

抓包信息顯示，PC1 發送了 ARP 請求報文（綠線框圍住的 Protocol 爲 ARP 的報
文）後，並無收到來自 PC2 的 ARP 應答報文。
GE0/0/2 的抓包信息如圖所示：

抓包信息顯示， PC2 並無收到來自 PC1 的 ARP 請求報文。
結論 綜合 GE0/0/1 和 GE0/0/2 的抓包信息，說明了 PC1 發送的
ARP 請求報文沒法經過交換機透傳到 PC2 上，這樣，PC1 和 PC2 之間就沒法完
成 ARP 學習過程，二者之間也就沒法實現相互訪問。
步驟 2 PC1 和 PC2 上配置的網關是 VLANIF10 的 IP 地址：10.10.10.250/24，我
們在 VLANIF10 上使能 VLAN 內 Proxy ARP 功能。步驟以下：
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.10.10.250 24
[Switch-Vlanif10] arp-proxy inner-sub-vlan-proxy enable //在VLANIF10上使能
VLAN內Proxy ARP功能
[Switch-Vlanif10] quit
而後用 PC1 和 PC2 互相 Ping 對方，結果二者能夠互相 Ping 通，這說明端口隔離
功能失效了。這是怎麼回事呢？讓咱們來抓包分析一下。
GE0/0/1 的抓包信息如圖所示：

首先，PC1 發送 ARP 請求報文，尋找 PC2 的 MAC 地址（如黃線標註）。
其次，VLANIF10 做爲 ARP 代理，代替 PC2 發送 ARP 應答報文（如藍線標註。
注意：4c1f-cc6b-263c 是 VLANIF10 的 MAC 地址）。
而後，PC1 收到來自 VLANIF10 的 ARP 應答報文後，把 ARP 表項中 PC2 的 MAC
地址修改成 VLANIF10 的 MAC 地址，以下圖所示。

最後，PC1 發送到 PC2 的 Ping Request 報文（如綠線標註）。下圖是 Ping Request
報文信息， Ping Request 報文的目的 MAC 地址是 VLANIF10 的 MAC 地址（如
黃線標註），可見，Ping Request 報文會首先發送到 VLANIF10 上。

如何查看 VLANIF10 的 MAC 地址呢？
在交換機上執行 display arp all 命令就能夠查看 VLANIF10 的 ARP 表項，ARP 表
項中包含 VLANIF10 的 MAC 地址。以下圖所示。

GE0/0/2 的抓包信息如圖所示：

首先，VLANIF10 發送 ARP 請求報文，尋找 PC2 的 MAC 地址（如黃線標註）。
其次，VLANIF10 收到來自 PC2 的 ARP 應答報文，獲取了 PC2 的 MAC 地址（如
藍線標註）。
最後，VLANIF10 將收到的來自 PC1 的 ARP Request 報文轉發到 PC2（如綠線所
示）。

結論
綜合 GE0/0/1 和 GE0/0/2 的抓包信息能夠看出， PC1 發送
的 Ping Request 報文會發送到 VLANIF10 進行三層轉發，而不是進行二層轉發。
PC2 迴應 PC1 的 Ping Reply 報文也一樣進行三層轉發，本帖再也不贅述。
PC1 和 PC2 之間可以經過三層進行通訊。那麼，如何實現 PC1 和 PC2 二三層都隔離呢？」很簡單，只須要在系統視圖下執行 port- -l isolate mode all 命
令便可實現二三層都隔離。讓咱們再次實驗一下。
實驗步驟以下：
步驟 1 在接口 VLANIF10 下保留 VLAN 內 Proxy ARP 功能的配置的同時，在系
統視圖下執行 port- -l isolate mode all 命令。
[Switch] port-isolate mode all //指定端口隔離模式爲二層三層都隔離
步驟 2 用 PC1 和 PC2 互相 Ping 對方，結果二者不能互相 Ping 通。
抓包分析一下 PC1 和 PC2 沒法互相 Ping 通的緣由。
GE0/0/1 的抓包信息如圖所示：

抓包信息顯示，PC1 發送 ARP 請求報文，收到來自接口 VLANIF10 的 ARP 應答
報文。PC1 發送 Ping Request 報文到 VLANIF10 進行三層轉發。
GE0/0/2 的抓包信息如圖所示：

抓包信息顯示，VLANIF10 沒有發送 ARP 請求報文尋找 PC2 的 MAC 地址，也沒
有把 PC1 發送的 ARP Request 報文轉發到 PC2。

結論 VLANIF10 並無轉發來自 PC1 的 ARP Request 報文，這樣，PC1 和 PC2 之間也就沒法實現三層互訪了。在交換機上配置了這麼多端口隔離的命令，萬一往後咱們不須要端口隔離功能了，一條一條刪除這些命令多麻煩呀！」其實，在系統視圖下執行 clear configuration port- -e isolate 命令就能夠一鍵式清除設備上全部的端口隔離配置，包括端口隔離組、端口單向隔離和隔離模式相關配置。不過，因爲執行 clear configuration port- -e isolate 命令一鍵式清除的命令數量比較多，可能會影響其餘業務，在使用時必定要謹慎哦！」