02-端口隔离典型配置指导
本章节下载: 02-端口隔离典型配置指导 (194.16 KB)
目 录
为了实现报文之间的隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
如图1-1所示网络,Host A和Host B属同一VLAN,要求通过端口隔离实现Host A和Host B之间不能互访,但都可以与服务器Server及外部网络进行通信。
l Host A、Host B和Server分别与Switch A的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3相连;
l Switch A通过GigabitEthernet1/0/4端口与外部网络相连;
l 端口GigabitEthernet1/0/1~GigabitEthernet1/0/4加入同一VLAN中;
l 在Switch A上配置端口隔离,将GE1/0/1、GE1/0/2加入缺省的隔离组内。
# 创建VLAN 100 ,且将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4全部加入VLAN 100。
创建VLAN 100,根据实际连接情况配置各端口的端口属性,并将各端口加入VLAN 100中,具体配置过程略。
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] port-isolate enable
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] port-isolate enable
[SwitchA-GigabitEthernet1/0/2] quit
# 显示隔离组中的信息。
<SwitchA> display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
GigabitEthernet1/0/1 GigabitEthernet1/0/2
#
vlan 100
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/3
port access vlan 100
#
interface GigabitEthernet1/0/4
port access vlan 100
(1) 隔离组内可以加入的端口数量没有限制。
(2) 隔离组内的端口和隔离组外相同VLAN端口数据流量双向互通,隔离组内端口之间不可互通。
(3) 其中S5500-SI、S5500-EI系列以太网交换机的端口隔离特性对二、三层数据报文均隔离,而表1-1中其它各系列交换机仅对二层数据报文进行隔离。
产品 |
软件版本 |
S5810系列以太网交换机 |
Release 1102 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
如图1-2所示网络,用户Host A、Host B、Host C属同一VLAN,要求通过端口隔离实现以下功能:
l 用户Host A、Host B、Host C彼此之间不能互访;
l 只能通过隔离组上行端口与外部网络通信,不能与隔离组外同VLAN的其它端口通信,
l Host A、Host B和Host C分别与Switch A的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3相连;
l 设备通过GigabitEthernet1/0/4端口与外部网络相连;
l 将端口GigabitEthernet1/0/1~GigabitEthernet1/0/4加入到同一VLAN中;
l 在Switch A上配置端口隔离,将GE1/0/1~GE1/0/3加入缺省的隔离组内;
l 将GE1/0/4配置成该隔离组的上行端口。
# 创建VLAN 100 ,且将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4全部加入VLAN 100。
创建VLAN 100,根据实际连接情况配置各端口的端口属性,并将各端口加入VLAN 100中,具体配置过程略。
# 将GE1/0/1、GE1/0/2、GE1/0/3加入隔离组内
<SwitchA> system-view
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] port-isolate enable
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] port-isolate enable
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface GigabitEthernet1/0/3
[SwitchA-GigabitEthernet1/0/3] port-isolate enable
# 将GE1/0/4配置成该隔离组的上行端口
[SwitchA] interface GigabitEthernet1/0/4
[SwitchA-GigabitEthernet1/0/4] port-isolate uplink-port
# 显示隔离组中的信息。
<SwitchA> display port-isolate group
Port-isolate group information:
Uplink port support: YES
Group ID: 1
Uplink port: GigabitEthernet1/0/4
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3
#
vlan 100
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/3
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/4
port access vlan 100
port-isolate uplink-port
(1) 目前支持隔离组上行端口的设备仅支持单隔离组,即由系统自动创建的隔离组1,用户不可删除该隔离组或创建其它的隔离组。
(2) 隔离组内可以加入的端口数量没有限制。
(3) 在支持上行端口的设备上配置隔离组时,若不配置上行端口,隔离组内端口将无法与同VLAN内的隔离组外其它端口通信。
(4) 对于属于同一VLAN的端口,隔离组内普通端口到隔离组外端口的二层报文单向隔离,隔离组内普通端口到隔离组外端口的二层报文会被送往隔离组内的上行端口,使隔离组外端口无法接收该报文。
(5) 表1-2中各系列以太网交换机仅对二层数据报文进行隔离。
产品 |
软件版本 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
如图1-3所示网络,用户Host A、Host B、Host C、Host D属同一VLAN,要求通过端口隔离实现以下功能:
l 仅限制用户Host A、Host B之间互访,及Host C、Host D之间互访;
l 不限制上述用户访问其它同VLAN内端口下的用户和网络,如允许Host A访问Host C或外部网络,
l 用户Host A、Host B、Host C、Host D分别与Switch A的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连;
l 设备通过GigabitEthernet1/0/5端口与外部网络相连;
l 将端口GigabitEthernet1/0/1~GigabitEthernet1/0/5加入到同一VLAN中;
l 创建隔离组1,将GE1/0/1、GE1/0/2加入隔离组1内;
l 创建隔离组2,将GE1/0/3、GE1/0/4加入隔离组2内;
# 创建VLAN 100,配置GE1/0/1、GE1/0/2、GE1/0/3、GE1/0/4、GE1/0/5在同一个VLAN内
创建VLAN 100,根据实际连接情况配置各端口的端口属性,并将各端口加入VLAN 100中,具体配置过程略。
# 创建隔离组1,将GE1/0/1、GE1/0/2加入隔离组1内
[SwitchA] port-isolate group 1
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] port-isolate enable group 1
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] port-isolate enable group 1
[SwitchA-GigabitEthernet1/0/2] quit
# 创建隔离组2,将GE1/0/3、GE1/0/4加入隔离组2内
[SwitchA] port-isolate group 2
[SwitchA] interface GigabitEthernet1/0/3
[SwitchA-GigabitEthernet1/0/3] port-isolate enable group 2
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface GigabitEthernet1/0/4
[SwitchA-GigabitEthernet1/0/4] port-isolate enable group 2
[SwitchA-GigabitEthernet1/0/4] quit
# 显示所有隔离组的信息。
<SwitchA> display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
Group ID: 2
Group members:
GigabitEthernet1/0/3 GigabitEthernet1/0/4
#
vlan 100
#
port-isolate group 1
port-isolate group 2
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable group 1
#
interface GigabitEthernet1/0/2
port access vlan 100
port-isolate enable group 1
#
interface GigabitEthernet1/0/3
port access vlan 100
port-isolate enable group 2
#
interface GigabitEthernet1/0/4
port access vlan 100
port-isolate enable group 2
#
interface GigabitEthernet1/0/3
port access vlan 100
(1) 各隔离组内可以加入的端口数量没有限制。
(2) 同一VLAN内不同隔离组之间的二层流量互通。
(3) 同一VLAN内隔离组内端口和非隔离组内端口二层流量互通。
(4) 一个端口只能在一个隔离组内,不能属于多个隔离组。
同时支持本地代理ARP和包过滤功能的产品及对应版本如表1-4所示。
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6610系列 |
S7600系列以太网交换机 |
Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
如图1-4所示网络,某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口GE1/0/1、GE1/0/2和GE1/0/3相连。要求实现各部门与外界网络互访的同时,还需要实现:
l 在每天8:00~12:00的时间段内,允许Host A访问行政部门的服务器,拒绝其它的IP报文通过;
l 在每天14:00~16:00的时间段内,允许Host B访问行政部门的服务器,拒绝其它的IP报文通过。
l 在其他时间段,各部门之间不能互访。
实现上述组网需求,一种方法是在Switch B的端口GE1/0/1、GE1/0/2和GE1/0/3上分别配置报文过滤,该方法配置复杂,且对Switch B的性能要求较高。
另一种方法是利用端口隔离,并结合上层设备的本地代理ARP功能和报文过滤,该方法对Switch B的性能要求不高,支持端口隔离的二层或三层设备都可以,且在VLAN资源紧张的网络环境中,还可节省VLAN资源。
若要实现不同隔离端口下的主机间互访,需在上层设备Switch A上使用本地代理ARP功能,但启用该功能后,Switch B上隔离端口下的主机都可互访或某一IP地址范围内的主机可互访。此处还需要结合报文过滤功能以实现上面需求。基本配置思路如下:
(1) 配置研发部门、市场部门和行政部门共用同一VLAN,并将Switch B上与各部门相连的端口GE1/0/1、GE1/0/2和GE1/0/3加入隔离组;
(2) 加入到隔离中的端口之间不能互访,若要实现互访还需要上层设备Switch A上配置本地代理ARP功能;
(3) 为了灵活的限制部门间的互访,需要在Switch A上实现报文过滤。报文过滤需求可以通过包过滤的配置方式来实现,也可以使用QoS策略的配置方式实现,但前者配置更简单,而且可以随时修改ACL的规则(修改结果将直接生效)。这里选择包过滤的配置方式实现:
l 定义高级IPv4 ACL,配置三条规则:允许Host A访问行政部门的服务器;允许Host B访问行政部门的服务器;拒绝各部门间的互访。
l 在Switch A的端口GigabitEthernet1/0/4上应用高级IPv4 ACL,以对该端口收到的IPv4报文进行过滤。
(1) 在Switch B上配置端口隔离
l 隔离组内的端口和隔离组外相同VLAN端口数据流量双向互通,隔离组内端口之间不可互通。
l 不同产品支持的隔离组类型及配置有所不同,本配置以单隔离组为例,有关多隔离组及支持上行端口的单隔离组的配置过程请参见“端口隔离典型配置指导”。
# 配置Switch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100;并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔离组中,以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[SwitchB-vlan100] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port-isolate enable
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port-isolate enable
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port-isolate enable
[SwitchB-GigabitEthernet1/0/3] quit
(2) 在Switch A上配置本地ARP代理
# 在Switch A上配置VLAN接口100的IP地址。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] port gigabitethernet 1/0/4
[SwitchA-vlan100] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip address 10.1.1.33 255.255.255.0
[SwitchA-Vlan-interface100] quit
# 在Switch A上配置本地代理ARP,实现部门之间的三层互通。
[SwitchA-Vlan-interface100] local-proxy-arp enable
(3) 在Switch A上定义工作时间段
# 定义周期时间段trname_1,时间范围为每天的8:00~12:00。
[SwitchA] time-range trname_1 8:00 to 12:00 daily
# 定义周期时间段trname2,时间范围为每天的14:00~16:00。
[SwitchA] time-range trname_2 14:00 to 16:00 daily
(4) 在Switch A上定义到行政部门服务器的访问规则
# 定义高级IPv4 ACL 3000,配置三条规侧
l 允许Host A访问行政部门的服务器。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1
l 允许Host B访问行政部门的服务器。
[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.15 0 destination 10.1.1.24 0 time-range trname_2
l 禁止各部门间的互访。
[SwitchA-acl-adv-3000] rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31
[SwitchA-acl-adv-3000] quit
(5) 在Switch A上配置包过滤功能
#在端口GigabitEthernet1/0/4上应用高级IPv4 ACL,以对该端口收到的IPv4报文进行过滤。
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] packet-filter 3000 inbound
l Switch B上的完整配置
#
vlan 100
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port access vlan 101
port-isolate enable
#
interface GigabitEthernet1/0/3
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/4
port access vlan 100
#
l Switch A上的完整配置
#
time-range trname_1_8:00 to 12:00 daily
time-range trname_2 14:00 to 16:00 daily
#
acl number 3000
rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1
rule 5 permit ip source 10.1.1.15 0 destination 10.1.1.24 0 time-range trname_2
rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31
#
vlan 100
#
interface Vlan-interface100
ip address 10.1.1.33 255.255.255.0
local-proxy-arp enable
#
interface GigabitEthernet1/0/4
port access vlan 100
packet-filter 3000 inbound
#
配置IPv4 ACL访问规则和包过滤功能注意事项:
(1) 当IPv4 ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
(2) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
(3) 当IPv4 ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
(4) 当IPv4 ACL被用于包过滤之后,用户可以随时编辑(增加、删除、修改)ACL中的过滤规则,修改后的过滤规则将立刻生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!