同一VLAN下的用户二层隔离，三层互通

　　今天我们来了解一下：arpproxyinnersubvlanproxyenable命令
　　首先命令功能：
　　arpproxyinnersubvlanproxyenable命令用来启动VLAN内ProxyARP功能。
　　缺省情况下，VLAN内ProxyARP功能处于关闭状态。
　　之前一篇文章写了，如何对同一VLAN下用户进行隔离，实现部分VLAN互通、部分VLAN隔离，针对某个用户、或某个网段用户进行隔离得文章，最后我们提出一个端口隔离后得互访方法（网关），那arpproxyinnersubvlanproxyenable完全可以做到。
　　一、拓扑图
　　二、实验要求
　　1。PC1和PC2二层隔离，三层互访
　　2。PC1和PC2二层三层都隔离
　　三、基础配置
　　sy
　　sySW1
　　dhcpen
　　vlan10
　　intvlan10
　　ipadd192。168。10。25424
　　dhcpselint（接口开启DHCP）
　　intg002
　　pla
　　pdv10
　　portisolateenablegroup1（端口隔离，分组1）
　　intg003
　　pla
　　pdv10
　　portisolateenablegroup1（端口隔离，分组1）
　　分组1内的成员端口都实现了二层隔离（因为交换机默认是二层隔离，三层互访）
　　在SW1的G002抓包，我们看到PC1pingPC2，发arp广播（因为封装需要PC2的mac地址），因为二层隔离，所以没有收到PC2的响应，那我们有没有办法，实现三层互通？
　　我们在SW1上做以下配置：
　　interfaceVlanif10
　　ipaddress192。168。10。254255。255。255。0
　　arpproxyinnersubvlanproxyenable
　　dhcpselectinterface
　　PC1PingPC2，抓包
　　我们从图中看到arp响应，192。168。10。252的mac地址是谁？它是网关192。168。9。25424的mac地址。所以这就是arpproxy的作用，arp代理响应。
　　PC1发送ARP请求PC2的MAC，VLANIF10作为ARP代理，代替PC2发送ARP应答报文。PC1收到VLANIF10的响应后，把APR表中PC2的MAC修改未VLANIF10的MAC地址。
　　所以Ping的报文给VLANIF10（网关）转发。
　　我们在SW1做以下配置：
　　portisolatemodeall，实现二层三层隔离。在抓包。
　　PC1发送给ARP请求，收到VLANIF10的报文响应，PC1发送请求，但VLANIF10并没有发送ARP请求寻找PC2的MAC。