Réimpression: comment isoler les communications de la couche 2 des interfaces sur les commutateurs de type S.

29 0 0 0

Réimpression autorisée par l'auteur zhushigeng (Vinsoney)

 

1- Aperçu de base

093037ryumrxdeiqsorxym.jpg

Dans la figure ci-dessus, les PC 1, 2 et 3 appartiennent au même VLAN (supposé être VLAN 10) et utilisent le même sous-réseau IP. Par défaut, trois ordinateurs peuvent accéder l'un à l'autre. C'est une visite typique de couche 2.

Désormais, PC1-PC2 ne peut pas communiquer sans modifier la planification des sous-réseaux IP et des réseaux locaux virtuels, alors que PC1 et PC3 peuvent communiquer entre eux, mais PC2 et PC3 ne le peuvent pas. Ceci peut être réalisé en isolant le port.

Le concept de groupe d'isolation de port est requis. Les ports du commutateur peuvent être ajoutés à un groupe d'isolation spécifique. Les ports du même groupe d'isolation de ports sont isolés les uns des autres. Les ports des différents groupes d'isolation de port ne sont pas isolés.

Par conséquent, pour mettre en œuvre les exigences ci-dessus, l’idée de configuration est très simple. Sur le commutateur, les ports 1 et 2 sont placés dans le même groupe d’isolation. Le port 3 n'est pas configuré en tant que groupe d'isolation ni placé dans un autre groupe d'isolation, puis activez l'isolation du port.

 

2- Mise en œuvre

093037f6hagqfnrygfrqig.jpg

1. PC1, PC2 et PC3 appartiennent à vlan10 et au même sous-réseau 1.1.1.0/24. L'IP est comme indiqué dans la figure ci-dessus.

2. Configurez l'isolation des ports de sorte que PC1 et PC2 ne puissent pas communiquer l'un avec l'autre, tandis que PC1 et PC3, PC2 et PC3 peuvent accéder l'un à l'autre.

La configuration du commutateur est la suivante:

 

#Définissez le mode d'isolation de port sur l'isolation de couche 2 et l'interfonctionnement de couche 3:

************************************************* **********************************


[SW] port-isolate mode l2

[SW] interface GigabitEthernet 0/0/1

[SW-GigabitEthernet0/0/1] port link-type access

[SW-GigabitEthernet0/0/1] port default vlan 10

[SW-GigabitEthernet0/0/1] port-isolate enable group 1         #interface joins into isolation group 1

 

[SW] interface GigabitEthernet 0/0/2

[SW-GigabitEthernet0/0/2] port link-type access

[SW-GigabitEthernet0/0/2] port default vlan 10

[SW-GigabitEthernet0/0/2] port-isolate enable group 1        #interface joins into isolation group 1

 

[SW] interface GigabitEthernet 0/0/3

[SW-GigabitEthernet0/0/3] port link-type access

[SW-GigabitEthernet0/0/3] port default vlan 10                     #interface g0/0/3 doesn't joins into isolation group.

 

<SW> display port-isolate group all

The ports in isolate group 1:

<SW> GigabitEthernet0/0/1     GigabitEthernet0/0/2



************************************************* **********************************

 

Ajoutez les ports 1 et 2 au groupe d'isolation 1, de sorte que PC1 et PC2 soient isolés l'un de l'autre sur la couche 2 et qu'ils ne puissent pas accéder l'un à l'autre.

Toutefois, PC1 et PC2 peuvent communiquer avec PC3.

Mode d'isolation de port de commande l2 définit le mode d'isolation sur Isolation de couche 2, contrairement à la couche 3. La non-isolation dite à trois couches signifie que les nœuds du même groupe d'isolation peuvent toujours communiquer via une adresse IP, par exemple:

093038i6c4adkaz2w4wvdr.jpg

L'adresse IP de PC1 est 1.1.1.1 et la passerelle est l'adresse IP vlanif10 1.1.1.254.

L'adresse IP de PC1 est 2.2.2.2 et la passerelle est l'adresse IP subordonnée vlanif10 2.2.2.254.

Vlanif10 est configuré avec deux adresses IP, c'est-à-dire que deux sous-réseaux IP sont utilisés dans un même vlan.

Ensuite, bien que les ports 1 et 2 soient maintenant isolés de couche 2, le trafic ARP ne peut pas être transmis, mais PC1 et PC2 peuvent toujours communiquer via une adresse IP de couche 3. Ceci s'appelle l'isolation de couche 2, mais la couche 3 n'est pas isolée.

Que faire si nous voulons isoler complètement les ports 1 et 2, à la fois sur les couches 2 et 3? Le mode d'isolation de port de commande peut tous nous aider à atteindre l'objectif.

 



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier