登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C低端以太网交换机 典型配置指导(V1.01)

39-访问管理典型配置指导

本章节下载  (144.57 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/E/E328[E352]/Configure/Typical_Configuration_Example/E328[E352]_Typical_Configuration_Example(V1.01)/200808/614459_30005_0.htm

39-访问管理典型配置指导

  录

第1章 访问管理典型配置指导

1.1 访问管理典型配置指导

1.1.1 组网图

1.1.2 应用要求

1.1.3 适用产品、版本

1.1.4 配置过程和解释

1.1.5 完整配置

1.1.6 配置注意事项

1.2 访问管理与端口隔离典型配置指导

1.2.1 组网图

1.2.2 应用要求

1.2.3 适用产品、版本

1.2.4 配置过程和解释

1.2.5 完整配置

1.2.6 配置注意事项

 

第1章  访问管理典型配置指导

1.1  访问管理典型配置指导

为了满足接入层交换机对用户访问权限的控制,可在接入层交换机上配置访问管理功能。通过该功能,可以控制接入层交换机端口下使用不同IP地址的主机对外部网络的访问权限。

具体的说,访问管理功能是指:在接入层以太网交换机的端口上,通过配置端口的访问管理IP地址池,将指定范围的IP地址与端口进行绑定,只允许连接到该端口的,IP地址在访问管理IP地址池内的主机与外部通信。

需要注意的是:当交换机某端口上未配置访问管理地址池时,要确保连接到此端口的主机就外部正常通信,请不要在交换机其它端口的访问管理地址池中配置该主机的IP地址。

1.1.1  组网图

图1-1 访问管理组网示意图

1.1.2  应用要求

客户端PC通过以太网交换机(Switch A)与外部网络相连。属于机构1的PC的IP地址范围是202.10.20.1/24~202.10.20.20/24;PC 2的IP地址为202.10.20.100/24;PC 3的IP地址为202.10.20.101/24。

l              允许机构1中的PC通过Switch A的属于VLAN1的端口Ethernet1/0/1接入外部网络,Vlan-interface1的IP地址为202.10.20.200/24;

l              不允许非机构1中的PC(如PC 2、PC 3)通过Switch A的端口Ethernet1/0/1接入外部网络。

1.1.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1510、Release 1602软件版本

全系列硬件版本

E352&E328

Release 1510、Release 1602软件版本

E352&E328

 

1.1.4  配置过程和解释

# 在Switch A上开启访问管理功能。

[SwitchA] am enable

# 配置Vlan-interface1接口的IP地址为202.10.20.200/24。

[SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] ip address 202.10.20.200 24

[SwitchA-Vlan-interface1] quit

# 配置端口Ethernet1/0/1上的访问管理IP地址池。

[SwitchA] interface Ethernet 1/0/1

[SwitchA-Ethernet1/0/1] am ip-pool 202.10.20.1 20

1.1.5  完整配置

#

 am enable

#

interface Vlan-interface1

 ip address 202.10.20.200 255.255.255.0

#

interface Ethernet1/0/1

am ip-pool 202.10.20.1 20

#

1.1.6  配置注意事项

l              端口上访问管理IP地址池中的地址,必须与该端口所属VLAN的接口IP地址在同一网段。

l              配置端口的访问管理IP地址池时,如果在此地址池内的IP地址是已配置的其它端口静态ARP表项中的IP地址,则系统将提示用户删除对应的静态ARP表项,以保证访问管理IP地址池生效。

l              如果用户只希望通过绑定端口的,IP地址在访问管理IP地址池中的主机与外部通信,则不要为地址池之外的IP地址配置静态ARP。

1.2  访问管理与端口隔离典型配置指导

1.2.1  组网图

图1-2 访问管理与端口隔离组网示意图

1.2.2  应用要求

客户端PC通过以太网交换机(Switch A)与外部网络相连。IP地址范围是202.10.20.1/24~202.10.20.20/24的PC属于机构1;IP地址范围是202.10.20.25/24~202.10.20.50/24或202.10.20.55/24~202.10.20.65/24的PC属于机构2。

l              允许机构1中的PC通过Switch A的端口Ethernet1/0/1接入外部网络;

l              允许机构2中的PC通过Switch A的端口Ethernet1/0/2接入外部网络;

l              端口Ethernet1/0/1和端口Ethernet1/0/2均属于VLAN1,且Vlan-interface1的IP地址为202.10.20.200/24;

l              机构1和机构2的PC之间二层隔离。

1.2.3  适用产品、版本

表1-2 配置适用的产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1510、Release 1602软件版本

全系列硬件版本

E352&E328

Release 1510、Release 1602软件版本

E352&E328

 

1.2.4  配置过程和解释

# 在Switch A上开启访问管理功能。

[SwitchA] am enable

# 配置Vlan-interface1接口的IP地址为202.10.20.200/24。

[SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] ip address 202.10.20.200 24

[SwitchA-Vlan-interface1] quit

# 配置端口Ethernet1/0/1上的访问管理IP地址池。

[SwitchA] interface Ethernet 1/0/1

[SwitchA-Ethernet1/0/1] am ip-pool 202.10.20.1 20

# 将端口Ethernet1/0/1加入隔离组。

[SwitchA-Ethernet1/0/1] port isolate

[SwitchA-Ethernet1/0/1] quit

# 配置端口Ethernet1/0/2上的访问管理IP地址池。

[SwitchA] interface Ethernet 1/0/2

[SwitchA-Ethernet1/0/2] am ip-pool 202.10.20.25 26 202.10.20.55 11

# 将端口Ethernet1/0/2加入隔离组。

[SwitchA-Ethernet1/0/2] port isolate

[SwitchA-Ethernet1/0/2] quit

1.2.5  完整配置

#

 am enable

#

interface Vlan-interface1

 ip address 202.10.20.200 255.255.255.0

#

interface Ethernet1/0/1

 port isolate

 am ip-pool 202.10.20.1 20

#

interface Ethernet1/0/2

 port isolate

 am ip-pool 202.10.20.25 26 202.10.20.55 11

#

1.2.6  配置注意事项

请参考1.1.6 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们