配置VLAN内Proxy ARP示例
组网需求
如图2-14所示,企业财务部的主机位于同一个VLAN内。部门主机访问外网时经常遭到病毒攻击,感染病毒的主机发送大量广播报文,在VLAN内产生广播风暴,严重时使部门主机不能正常通信。公司希望采取方法可以有效地隔离部门内的广播风暴,保证部门员工的正常通信以及信息安全。
配置思路
VLAN内Proxy ARP的配置思路如下:
在交换机的下行接口上配置接口隔离,禁止部门的主机之间进行二层通信,消除VLAN内的广播风暴的影响。
在VLANIF接口上使能VLAN内的Proxy ARP,在避免广播风暴的同时实现部门主机间的三层通信。
操作步骤
- 配置接口Etherent2/0/0加入VLAN10
# 创建VLAN10。
<Huawei> system-view
[Huawei] sysname Router
[Router] vlan 10
[Router-vlan10] quit
# 将接口Etherent2/0/0加入VLAN10。
[Router] interface ethernet 2/0/0
[Router-Ethernet2/0/0] port hybrid tagged vlan 10
[Router-Ethernet2/0/0] port hybrid pvid vlan 10
# 配置接口VLANIF10的IP地址。
[Router] interface vlanif 10
[Router-Vlanif10] ip address 10.1.1.12 255.255.255.0
[Router-Vlanif10] quit
- 配置交换机设备
在交换机设备上创建VLAN10,并将所有接口加入VLAN10。配置连接用户的下行接口彼此隔离(配置过程略)。
- 配置PC的IP地址
# 分别为各PC配置IP地址,并使它们和接口VLANIF10的地址处于同一网段(配置过程略)。
# 配置成功后,各PC与Router之间可以相互Ping通,但PC之间不能相互Ping通。
- 配置在接口VLANIF10上启动VLAN内Proxy ARP
[Router] interface vlanif 10
[Router-Vlanif10] arp-proxy inner-sub-vlan-proxy enable
[Router-Vlanif10] quit
- 验证配置结果
# 选取部门内的两台主机PC A与PC B,互相可以Ping通。
C:\Documents and Settings\Administrator> ping 10.1.1.100 PING 10.1.1.100: 56 data bytes, press CTRL_C to break Reply from 10.1.1.100: bytes=56 Sequence=1 ttl=255 time=10 ms Reply from 10.1.1.100: bytes=56 Sequence=2 ttl=255 time=10 ms Reply from 10.1.1.100: bytes=56 Sequence=3 ttl=255 time=10 ms Reply from 10.1.1.100: bytes=56 Sequence=4 ttl=255 time=10 ms Reply from 10.1.1.100: bytes=56 Sequence=5 ttl=255 time=10 ms --- 10.1.1.100 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 10/10/10 ms