- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-端口隔离配置
本章节下载: 03-端口隔离配置 (200.86 KB)
为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限。采用端口隔离特性,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源。
隔离组内的端口与未加入隔离组的端口之间二层流量双向互通。
设备支持多个隔离组,用户可以手工配置。隔离组内可以加入的端口数量没有限制。
一个端口最多只能加入一个隔离组。
二层以太网接口视图下的配置只对当前端口生效。
二层聚合接口视图下的配置对当前接口及其成员端口生效,若某成员端口配置失败,系统会跳过该端口继续配置其他成员端口,若二层聚合接口配置失败,则不会再配置成员端口。
(1) 进入系统视图。
system-view
(2) 创建隔离组。
port-isolate group group-id
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 将端口加入到隔离组中。
port-isolate enable group group-id
缺省情况下,当前端口不属于任何隔离组。
在完成上述配置后,在任意视图下执行display命令可以显示配置后端口隔离的运行情况,通过查看显示信息验证配置的效果。
表1-1 端口隔离显示和维护
|
操作 |
命令 |
|
显示隔离组的信息 |
display port-isolate group [ group-id ] |
如图1-1所示:
· 小区用户Host A、Host B、Host C、Host D分别与Device A的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5相连,Host A和Host C属于VLAN 2,Host B和Host D属于VLAN 3。
· Device A和Device B通过Ten-GigabitEthernet1/0/1端口相连,Device B通过Ten-GigabitEthernet1/0/2端口与外部网络相连。
· 现需要实现小区用户Host A、Host B、Host C和Host D彼此之间二层报文不能互通,但可以通过Device B和外部网络通信。
表1-2 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
Ten-GigabitEthernet1/0/1 |
|
Interface2 |
Ten-GigabitEthernet1/0/2 |
|
Interface3 |
Ten-GigabitEthernet1/0/3 |
|
Interface4 |
Ten-GigabitEthernet1/0/4 |
|
Interface5 |
Ten-GigabitEthernet1/0/5 |
(1) 配置Device A
# 使端口Ten-GigabitEthernet1/0/1至Ten-GigabitEthernet1/0/5工作在二层模式下。
<DeviceA> system-view
[DeviceA] interface range ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/5
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 创建VLAN 2,将端口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/4加入VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/4
[DeviceA-vlan2] quit
# 创建VLAN 3,将端口Ten-GigabitEthernet1/0/3和Ten-GigabitEthernet1/0/5加入VLAN 3。
[DeviceA] vlan 3
[DeviceA-vlan3] port ten-gigabitethernet 1/0/3
[DeviceA-vlan3] port ten-gigabitethernet 1/0/5
[DeviceA-vlan3] quit
# 将端口Ten-GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 2和VLAN 3的报文通过。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 创建隔离组2和隔离组3。
[DeviceA] port-isolate group 2
[DeviceA-port-isolate-group2] quit
[DeviceA] port-isolate group 3
[DeviceA-port-isolate-group3] quit
# 将端口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/4加入隔离组2;将Ten-GigabitEthernet1/0/3和Ten-GigabitEthernet1/0/5加入隔离组3。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port-isolate enable group 3
[DeviceA-Ten-GigabitEthernet1/0/3] quit
[DeviceA] interface ten-gigabitethernet 1/0/4
[DeviceA-Ten-GigabitEthernet1/0/4] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/4] quit
[DeviceA] interface ten-gigabitethernet 1/0/5
[DeviceA-Ten-GigabitEthernet1/0/5] port-isolate enable group 3
[DeviceA-Ten-GigabitEthernet1/0/5] quit
(2) 配置Device B
# 创建VLAN 2和VLAN 3。
<DeviceB> system-view
[DeviceB] vlan 2 to 3
# 将端口Ten-GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 2和VLAN 3的报文通过。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3
[DeviceB-Ten-GigabitEthernet1/0/1] quit
# 配置VLAN接口2的IP地址和子网掩码。
[DeviceB] interface vlan 2
[DeviceB-Vlan-interface2] ip address 192.168.2.100 255.255.255.0
[DeviceB-Vlan-interface2] quit
# 配置VLAN接口3的IP地址和子网掩码。
[DeviceB] interface vlan 3
[DeviceB-Vlan-interface3] ip address 192.168.3.100 255.255.255.0
[DeviceB-Vlan-interface3] quit
(3) 配置Host A、Host B、Host C和Host D
将Host A和Host C的IP地址配置在192.168.2.0/24网段中,并指定IP地址192.168.2.100/24作为三层通信的网关地址。
将Host B和Host D的IP地址配置在192.168.3.0/24网段中,并指定IP地址192.168.3.100/24作为三层通信的网关地址。
(1) 通过ping命令查看
¡ Host A、Host B、Host C和Host D均能ping通Device B。
¡ 同一隔离组内的设备不能ping通,即:
- Host A和Host C之间不能互通。
- Host B和Host D之间不能互通。
(2) 通过显示信息查看
# 显示所有隔离组的信息。
[DeviceA] display port-isolate group
Port isolation group information:
Group ID: 2
Group members:
Ten-GigabitEthernet1/0/2 Ten-GigabitEthernet1/0/4
Community VLAN ID: None
Group ID: 3
Group members:
Ten-GigabitEthernet1/0/3 Ten-GigabitEthernet1/0/5
Community VLAN ID: None
以上信息显示:
¡ Device A上的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/4已经加入隔离组2,从而实现二层隔离。
¡ Device A上的端口Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/5已经加入隔离组3,从而实现二层隔离。
· Device A
#
vlan 2 to 3
#
port-isolate group 2
#
port-isolate group 3
#
interface Ten-GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 3
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
port-isolate enable group 2
#
interface Ten-GigabitEthernet1/0/3
port access vlan 3
port-isolate enable group 3
#
interface Ten-GigabitEthernet1/0/4
port access vlan 2
port-isolate enable group 2
#
interface Ten-GigabitEthernet1/0/5
port access vlan 3
port-isolate enable group 3
#
· Device B
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.2.100 255.255.255.0
#
interface Vlan-interface3
ip address 192.168.3.100 255.255.255.0
#
interface Ten-GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 3
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
