- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-端口隔離配置
本章節下載: 05-端口隔離配置 (251.29 KB)
目 錄
· 設備支持兩種運行模式:獨立運行模式和IRF模式,缺省情況為獨立運行模式。端口隔離功能僅適用於處於獨立運行模式、或處於IRF模式但沒有配置IRF增強功能的設備。有關IRF模式的介紹,請參見“IRF配置指導”中的“IRF”。
· 當係統工作模式為非混插模式時,端口隔離功能和基於MAC的VLAN功能不能同時使用。有關基於MAC的VLAN功能的介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN”;有關係統工作模式的介紹,請參見“基礎配置指導”中的“設備管理”。
為了實現報文之間的二層隔離,可以將不同的端口加入不同的VLAN,但會浪費有限的VLAN資源。采用端口隔離特性,可以在無關VLAN的情況下實現端口之間的二層隔離(例如,實現同一VLAN內端口之間的隔離)。用戶隻需要將同一台設備或同一個IRF的成員設備的端口加入到隔離組中,就可以實現隔離組內端口之間二層流量的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。
端口隔離特性與端口所屬的VLAN無關。對於隔離組內的端口,不論屬於何種VLAN,隻有同一個隔離組的普通端口(即,非上行端口)到上行端口的二層報文可以單向通過,其它情況的端口二層流量是相互隔離的。對於隔離組外的端口,如果與隔離組內的端口屬於同一VLAN,那麼隔離組內、外端口的二層流量互通的情況,又可以分為以下兩種:
· 如果係統處於混插模式,則配置端口隔離時必須配置隔離組的上行端口,各種類型端口之間二層報文的互通情況如圖1-1所示。
· 如果係統處於非混插模式,則配置端口隔離時無需配置隔離組的上行端口,隔離組內的端口和隔離組外端口二層流量雙向互通。
圖1-1 同一VLAN內隔離組內、外端口二層報文互通情況
圖中箭頭方向表示報文可以成功發送的方向。
· 目前隔離組中的普通端口,除了支持MAC地址學習、部分應用在此端口上入方向的策略所對應的流行為(accounting、filter deny、car cir committed-information-rate red discard、流鏡像等)、聚合功能外,其它功能均不支持。
· 建議您不要在隔離組的普通端口上配置二三層協議(例如GVRP等二層協議;組播、路由等三層協議),否則可能導致網絡功能不正常。
在隔離組中,還可以配置非隔離VLAN,從而允許隔離組內的端口對某個指定VLAN的數據可以二層互通,增加了組網的靈活性。
如圖1-2所示,Switch B和Switch C都通過Switch A與公共服務器群互通;Switch A通過GE3/0/2和GE3/0/3連接Switch B和Switch C,且這兩個端口同時屬於VLAN 2、VLAN 3。將GE3/0/2和GE3/0/3加入隔離組1(port-isolate group 1)後,缺省情況下Switch B與Switch C之間不能二層互通(因此,屬於同一VLAN的Host A和Host C之間、Host B和Host D之間也不能互通)。如果配置該隔離組中的VLAN 3為非隔離VLAN,則屬於VLAN 3的Host B和Host D之間可以二層互通。
表1-1 端口隔離配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
將端口加入隔離組 |
必選 |
|
|
配置隔離組的上行端口 |
僅當係統工作模式為混插模式時,必選 |
|
|
配置非隔離VLAN |
可選 |
隔離組內可以加入的端口數量沒有限製。
表1-2 將端口加入隔離組
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建隔離組,如果係統工作模式為非混插模式,還會進入隔離組視圖 |
port-isolate group group-number |
必選 當係統工作模式為非混插模式時,如果該隔離組已經存在,則直接進入該隔離組視圖 |
|
|
退出隔離組視圖 |
quit |
僅當係統工作模式為非混插模式時需要此操作 |
|
|
進入相應視圖 |
進入以太網接口視圖 |
interface interface-type interface-number |
三者必選其一 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
將指定端口加入到隔離組中,並作為隔離組中的普通端口 |
port-isolate enable group group-number |
必選 缺省情況下,隔離組中沒有加入任何端口 |
|
當係統工作模式為混插模式時,配置端口隔離時必須配置隔離組的上行端口。
表1-3 配置隔離組的上行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入以太網接口視圖 |
interface interface-type interface-number |
二者必選其一 |
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
將當前端口加入到隔離組中,並作為隔離組中的上行端口 |
port-isolate uplink-port group group-number |
必選 缺省情況下,隔離組中無上行端口 |
|
· 一個隔離組中隻能有一個上行端口,在用戶多次配置不同的端口為上行端口時,以最後一個配置為準。
· 如果端口已經被配置為某個隔離組的普通端口,則不能再配置為任何隔離組的上行端口,但是可以配置該端口為其它隔離組的普通端口,同時該端口會從之前的隔離組中刪除。
· 如果端口已經被配置為某個隔離組的上行端口,則不能再配置為任何隔離組的普通端口和其它隔離組的上行端口。
· 聚合組的成員端口不允許配置成為上行端口。反之,已經配置為上行端口的接口不能加入聚合組。特殊情況下(為了兼容舊的配置文件),如果用戶同時配置端口為聚合組的成員端口和隔離組的上行端口,則隻有聚合組配置生效,隔離組將被刪除。(聚合相關內容請參見“二層技術-以太網交換配置指導”中的“以太網鏈路聚合”)。
· 本配置僅適用於係統工作模式為非混插模式的設備。
· 本配置僅適用於運行模式為獨立運行模式、或處於IRF模式但沒有配置IRF增強功能的設備。
表1-4 配置非隔離VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建隔離組,並進入隔離組視圖 |
port-isolate group group-number |
必選 如果該隔離組已經存在,則直接進入該隔離組視圖 |
|
配置非隔離VLAN |
community-vlan vlan { vlan-id-list | all } |
必選 缺省情況下,隔離組下未配置非隔離VLAN |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後端口隔離的相關信息,通過查看顯示信息驗證配置的效果。
表1-5 端口隔離顯示和維護
|
操作 |
命令 |
|
顯示端口隔離的信息 |
display port-isolate group [ group-number ] [ | { begin | exclude | include } regular-expression ] |
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP。
此舉例假設係統工作模式處於混插模式。
· 交換機通過GigabitEthernet4/0/1端口可以正常訪問外部網絡。
· 端口GigabitEthernet4/0/1~GigabitEthernet4/0/4屬於VLAN 2;要求實現小區用戶Host A、Host B和Host C彼此之間二層報文不能互通,但可以和外部網絡通信。
圖1-3 配置端口隔離
# 創建VLAN,將端口加入到此VLAN中。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] port GigabitEthernet 4/0/1 to GigabitEthernet 4/0/4
[Switch-vlan2] quit
# 創建隔離組2。
[Switch] port-isolate group 2
# 將端口GigabitEthernet4/0/2~GigabitEthernet4/0/4加入隔離組2。
[Switch] interface GigabitEthernet 4/0/2
[Switch-GigabitEthernet4/0/2] port-isolate enable group 2
[Switch-GigabitEthernet4/0/2] quit
[Switch] interface GigabitEthernet 4/0/3
[Switch-GigabitEthernet4/0/3] port-isolate enable group 2
[Switch-GigabitEthernet4/0/3] quit
[Switch] interface GigabitEthernet 4/0/4
[Switch-GigabitEthernet4/0/4] port-isolate enable group 2
[Switch-GigabitEthernet4/0/4] quit
# 配置端口GigabitEthernet4/0/1為隔離組2的上行端口。
[Switch] interface GigabitEthernet 4/0/1
[Switch-GigabitEthernet4/0/1] port-isolate uplink-port group 2
[Switch-GigabitEthernet4/0/1] quit
# 顯示隔離組2中的信息。
[Switch] display port-isolate group 2
Port-isolate group information:
Uplink port support: YES
Group ID: 2
Uplink port: GigabitEthernet4/0/1
Group members:
GigabitEthernet4/0/2 GigabitEthernet4/0/3 GigabitEthernet4/0/4
此舉例假設係統工作模式處於非混插模式。
· Switch A通過GigabitEthernet3/0/1端口可以正常訪問外部網絡。
· Site 1和Site 2是某公司的兩個分支機構,都在VLAN 2和VLAN 3上承載業務,分別使用Switch B和Switch C接入Switch A。
· 公司希望這兩個站點都可以通過Switch A和外部網絡通信;另外,除了用於視頻會議的VLAN 3的業務可以互通外(即VLAN 3的報文在Host B和Host D之間可以互通),Switch B和Switch C之間的其他二層流量都互相隔離。
圖1-4 配置端口隔離和非隔離VLAN
(1) 配置Switch A
# 在Switch A上創建VLAN 2和VLAN 3,將端口GigabitEthernet3/0/2和GigabitEthernet3/0/3的鏈路類型配置為Trunk,並允許VLAN 2和VLAN 3的報文通過。
<SwitchA> system-view
[SwitchA] vlan 2 to 3
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] port link-type trunk
[SwitchA-GigabitEthernet3/0/2] port trunk permit vlan 2 3
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface GigabitEthernet 3/0/3
[SwitchA-GigabitEthernet3/0/3] port link-type trunk
[SwitchA-GigabitEthernet3/0/3] port trunk permit vlan 2 3
[SwitchA-GigabitEthernet3/0/3] quit
# 創建隔離組1。
[SwitchA] port-isolate group 1
[SwitchA-port-isolate-group1] quit
# 將連接Switch B和Switch C的端口GigabitEthernet3/0/2和GigabitEthernet3/0/3加入隔離組1。
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] port-isolate enable group 1
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface GigabitEthernet 3/0/3
[SwitchA-GigabitEthernet3/0/3] port-isolate enable group 1
[SwitchA-GigabitEthernet3/0/3] quit
# 配置隔離組1中的VLAN 3為非隔離VLAN。
[SwitchA] port-isolate group 1
[SwitchA-port-isolate-group1] community-vlan vlan 3
[SwitchA-port-isolate-group1] quit
(2) 配置Switch B
# 在Switch B上創建VLAN 2和VLAN 3,並將GigabitEthernet2/0/2端口加入VLAN 2, GigabitEthernet2/0/3端口加入VLAN 3。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-vlan2] port GigabitEthernet 2/0/2
[SwitchB-vlan2] vlan 3
[SwitchB-vlan3] port GigabitEthernet 2/0/3
[SwitchB-vlan3] quit
# 設置GigabitEthernet2/0/1端口的鏈路類型為Trunk,並允許VLAN 2和VLAN 3的報文通過。
[SwitchB] interface GigabitEthernet 2/0/1
[SwitchB-GigabitEthernet2/0/1] port link-type trunk
[SwitchB-GigabitEthernet2/0/1] port trunk permit vlan 2 3
(3) Switch C上的配置與Switch B完全一樣。
# 在Switch A上顯示隔離組1中的信息。
[SwitchA] display port-isolate group 1
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet3/0/2 GigabitEthernet3/0/3
以上信息顯示端口GigabitEthernet3/0/2和GigabitEthernet3/0/3已經被加入隔離組1。
# 顯示隔離組1中的配置信息。
[SwitchA] port-isolate group 1
[SwitchA -port-isolate-group1] display this
#
port-isolate group 1
community-vlan vlan 3
#
return
以上信息顯示Switch A中已建立隔離組1,並配置了隔離組1中的VLAN 3為非隔離VLAN。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
