三层交换机上做端口隔离.docVIP

三层交换机上做端口隔离?? 2011-10-28 11:15:01|??分类： 默认分类 |??标签： |字号大中小?订阅 在不支持端口保护（switchport protect）的三层交换机上，要想达到端口隔离的效果。 ? ? 问题及要求如图。 ?解决思路是利用vlan。 问题是在三层交换机上，vlan之间是可以通过三层转发的。所以要设置ACL进行控制。 每个端口划分一个vlan，分别是Vlan101、Vlan102、Vlan103.......Vlan124 A1接到三层交换的F0/1，划分vlan101，A2接到三层交换的F0/2，划分vlan102...... 在每个vlan启用虚拟接口，分配相应地址，并增加access-group。 如： interface Vlan101 ?ip address 192.168.1.254 255.255.255.0 ?ip access-group 101 in 相应的access-list为： access-list 101 permit ip host 192.168.1.3 host 192.168.19.1??????????????????????? ；允许访问RCM1 access-list 101 permit ip host 192.168.1.3 host 192.168.24.200??????????????????? ；允许访问Server access-list 101 deny ip host 192.168.1.3 any???????????????????????????????????????????????? ；拒绝访问其它 这样，接在这个端口的主机A1，便不能与其它主机通讯。达到了端口隔离的目的。 注意：1.没有实测过是否影响影响交换性能。 ????????? 2.端口F0/1如果级联下层交换机，对性能方面会有什么影响？ ? 附：完整running-config ? ?Switch#sh run Building configuration... Current configuration : 4581 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch ! ! interface FastEthernet0/1 ?switchport access vlan 101 ! interface FastEthernet0/2 ?switchport access vlan 102 ! interface FastEthernet0/3 ?switchport access vlan 103 ! interface FastEthernet0/4 ?switchport access vlan 104 ! interface FastEthernet0/5 ?switchport access vlan 105 ! interface FastEthernet0/6 ?switchport access vlan 106 ! interface FastEthernet0/7 ?switchport access vlan 107 ! interface FastEthernet0/8 ?switchport access vlan 108 ! interface FastEthernet0/9 ?switchport access vlan 109 ! interface FastEthernet0/10 ?switchport access vlan 110 ! interface FastEthernet0/11 ?switchport access vlan 111 ! interface FastEthernet0/12 ?switchport access vlan 112 ! interface FastEthernet0/13 ?switchport access vlan 113 ! interface FastEthernet0/14 ?switchport access vlan 114 ! interface FastEthernet0/15 ?switchport access vlan 115 ! interface FastEthernet0/16 ?switchport access vlan 116 ! interface FastEthernet0/17