端口隔离
port-isolate enable group 1 # 在接口上开启隔离功能,默认加入group1,相同组间不能通讯
am isolate g0/0/* # 在接口上开启单向隔离,使得这个接口无法和指定接口通讯
port-isolate mode all # 设置模式为二三层都隔离,默认只二层
display port-isolate group all # 查看所有端口隔离组信息代理ARP
- arp-proxy enable
- 普通arp代理
- 作用:在源地址访问不同网段的地址时,在接收端口配置代理后,作为一个中间人来响应双方的arp,意思就是目标mac不再是真实的对端mac,而是这台代理arp设备的mac,arp代理有欺骗的性质
- arp-proxy inner-sub-vlan-proxy enable
- 区域内arp代理
- 作用:同一网段同一VLAN但是设置了端口隔离导致ARP请求被隔离,利用这条命令在vlanif接口使用,vlanif接口接收到arp请求会代替目标地址响应源地址的arp,代替双方响应arp实现三层通信。
- arp-proxy inter-sub-vlan-proxy enable
- 区域间arp代理
- 作用:同一网段不同VLAN间代理arp,与区域内不同的是,响应的是不同vlan的arp请求,比如spuer vlan的场景下。
静态路由出接口和下一跳的区别
如上图,走向2.2.2.2的静态路由写的是下一跳,那么设备会先问下一跳的MAC,以太网报头会封装下一跳的MAC地址,但是IP报头目标地址还是2.2.2.2,对端设备接收报文后会拆封,然后对端设备会看自己的路由表直到走向2.2.2.2。
如果AR1走向2.2.2.2的静态路由写的是出接口,出现的问题就是对端AR无法回应ARP,因为你请求的不是对端接口的MAC地址,2.2.2.2和本端根本就不在一个广播域里面,目标MAC无法封装所以导致不通。
可以有的解决方式就是在对端设备接口上开启普通ARP代理,arp-proxy enable
这也就是为什么静态路由需要写下一跳而不是写出接口的原因,写出接口的场景也是有的,比如PPP场景和串口,因为不存在ARP所以直接写下一跳或者出接口都可以。
作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1759
相关推荐
-
华为数通 VRF
技术原理 VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,和接口做关联,虚拟成多…
-
华为数通 HCIE论述题 – ACL
问题一、AR1向AR2发布路由时调用路由策略,在AR2上还能学到哪些路由? ACL和ip-prefix是匹配路由的工具,router-policy是路由策略router-polic…
-
华为数通 MPLS VPN
技术原理 MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟…
-
华为数通 GRE+iPsec
配置实例
-
华为数通 OSPF
技术原理 OSPF(Open Shortest Path First开放式最短路径优先),也是一个内部网关协议(IGP),相邻的路由器之间形成令居关系,互相交换链路状态和路由信息,…
-
华为数通 组播
使用场景 在交换机中有三种通信方式:单播(unicast)、广播(broadcast)、组播(multicast)单播解决了点对点通信的需求;广播是点对多点的通信,其存在两个缺点:…
