同一VLAN下的用户二层隔离，三层互通

今天我们来了解一下：arp-proxy inner-sub-vlan-proxy enable命令

首先命令功能：

arp-proxy inner-sub-vlan-proxy enable命令用来启动VLAN内Proxy ARP功能。

缺省情况下，VLAN内Proxy ARP功能处于关闭状态。

之前一篇文章写了，如何对同一VLAN下用户进行隔离，实现部分VLAN互通、部分VLAN隔离，针对某个用户、或某个网段用户进行隔离得文章，最后我们提出一个端口隔离后得互访方法（网关），那arp-proxy inner-sub-vlan-proxy enable完全可以做到。

一、拓扑图

二、实验要求

1. PC1和PC2二层隔离，三层互访

2. PC1和PC2二层/三层都隔离

三、基础配置

sy

sy SW1

dhcp en

vlan 10

int vlan 10

ip add 192.168.10.254 24

dhcp sel int（接口开启DHCP）

int g0/0/2

p l a

p d v 10

port-isolate enable group 1（端口隔离，分组1）

int g0/0/3

p l a

p d v 10

port-isolate enable group 1（端口隔离，分组1）

分组1内的成员端口都实现了二层隔离（因为交换机默认是二层隔离，三层互访）

在SW1的G0/0/2抓包，我们看到PC1pingPC2，发arp广播（因为封装需要PC2的mac地址），因为二层隔离，所以没有收到PC2的响应，那我们有没有办法，实现三层互通？

我们在SW1上做以下配置：

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

arp-proxy inner-sub-vlan-proxy enable

dhcp select interface

PC1 Ping PC2，抓包

我们从图中看到arp响应，192.168.10.252的mac地址是谁？它是网关192.168.9.254/24的mac地址。所以这就是arp proxy的作用，arp代理响应。

PC1 发送ARP请求PC2的MAC，VLANIF 10作为ARP 代理，代替PC2发送ARP应答报文。PC1收到VLANIF10的响应后，把APR表中PC2的MAC修改未VLANIF10的MAC地址。

所以Ping的报文给VLANIF10（网关）转发。

我们在SW1做以下配置：

port-isolate mode all，实现二层三层隔离。在抓包。

PC1发送给ARP 请求，收到VLANIF10的报文响应，PC1发送请求，但VLANIF 10 并没有发送ARP请求寻找PC2的MAC。