登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-二层技术-以太网交换配置举例

目录

00-S12500_端口隔离典型配置举例

本章节下载 00-S12500_端口隔离典型配置举例  (126.42 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Typical_Configuration_Example/H3C_S12500-R7129-6W100/04/201309/796602_30005_0.htm

00-S12500_端口隔离典型配置举例

目 

1 简介

2 配置前提

3 端口隔离配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 配置文件

4 相关资料

 

1  简介

本文档介绍了端口隔离的配置举例。

采用端口隔离特性,可以在无关VLAN的情况下实现端口之间的二层隔离(例如,实现同一VLAN内端口之间的隔离)。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解端口隔离特性。

3  端口隔离配置举例

3.1  组网需求

图1所示,Device A的端口GE3/0/1GE3/0/2GE3/0/3GE3/0/4均属于VLAN 10,其中GE3/0/4与外部网络相连。要求使用端口隔离技术,实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。

图1 端口隔离典型配置组网图

 

3.2  配置思路

要实现用户Host A、Host B和Host C之间二层隔离,将Device A的用户侧端口GE3/0/1GE3/0/2GE3/0/3加入同一隔离组即可。

为了使用户可以访问外部网络,Device A接入外部网络的上行端口GE3/0/4需要和用户侧端口二层互通,因此上行端口GE3/0/4不加入隔离组。

3.3  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

3.4  配置步骤

# Host AHost BHost CIP地址配置在1.1.1.0/24网段,网关地址均指定为1.1.1.11/24。具体配置过程略。

# Device A上创建VLAN 10,并将端口GE3/0/1GE3/0/2 GE3/0/3GE3/0/4加入VLAN 10

<DeviceA> system-view

[DeviceA] vlan 10

[DeviceA-vlan10] quit

[DeviceA] interface range GigabitEthernet 3/0/1 to GigabitEthernet 3/0/4

[DeviceA-if-range] undo shutdown

[DeviceA-if-range] port access vlan 10

[DeviceA-if-range] quit

# 创建VLAN接口Vlan-interface10,为其配置IP地址。

[DeviceA] interface vlan-interface 10

[DeviceA-Vlan-interface10] undo shutdown

[DeviceA-Vlan-interface10] ip address 1.1.1.11 24

[DeviceA-Vlan-interface10] quit

# 创建隔离组1

[DeviceA]port-isolate group 1

# 将端口GE3/0/1GE3/0/2GE3/0/3加入隔离组1

[DeviceA] interface range GigabitEthernet 3/0/1 to GigabitEthernet 3/0/3

[DeviceA-if-range] port-isolate enable group 1

[DeviceA-if-range] quit

3.5  验证配置

(1)     在DeviceA上查看隔离组1中的信息。

[DeviceA] display port-isolate group 1

 Port isolation group information:

 Group ID: 1

 Group members:

    GigabitEthernet3/0/1     GigabitEthernet3/0/2     GigabitEthernet3/0/3

由此可见,DeviceA的用户侧端口GE3/0/1GE3/0/2GE3/0/3已加入隔离组1。

(2)     主机Host A、Host B和Host C两两之间进行ping操作,不能ping通。在主机上查看ARP表项,发现主机没有学到对端的MAC地址,可见两个主机二层隔离。

(3)     主机Host A、Host B和Host C分别和上行端口GE3/0/4所连接的网络(例如一台IP地址在1.1.1.0/24网段的设备)进行互相的ping操作,可以ping通。

3.6  配置文件

#

vlan 10

#

port-isolate group 1

#

interface Vlan-interface10

 ip address 1.1.1.11 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/4

 port link-mode bridge

 port access vlan 10

#

4  相关资料

·     《H3C S12500系列路由交换机  二层技术-以太网交换配置指导》中的“端口隔离”

·     《H3C S12500系列路由交换机  二层技术-以太网交换命令参考》中的“端口隔离”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们