- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-端口隔離配置舉例
本章節下載: 07-端口隔離配置舉例 (187.47 KB)
|
Copyright © 2018bobty下载软件 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
本文檔介紹了端口隔離的配置舉例。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解端口隔離特性。
同一端口不能同時配置為業務環回組成員端口和隔離組端口,即業務環回組成員端口不能加入隔離組,而隔離組成員端口不能再配置為業務環回組的成員端口。
如圖1所示:
· Site 1和Site 2是某公司的兩個部門,分別在VLAN 2和VLAN 3上承載業務,並接入Device A。
· Device A通過Ten-GigabitEthernet1/0/1端口與外部網絡相連。
· 公司希望這兩個部門都可以通過Device A和外部網絡通信,但兩部門內部的二層流量都互相隔離。
本舉例是在S6800-CMW710-R2609版本上進行配置和驗證的。
· 在設備上將端口加入到指定的隔離組中前,必須先完成該隔離組的創建。
· 一個端口最多隻能加入一個隔離組。
# 在Device A上創建VLAN 2和VLAN 3,將端口Ten-GigabitEthernet1/0/1的鏈路類型配置為Trunk,並允許VLAN 2和VLAN 3的報文通過。將端口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/3加入VLAN2;將端口Ten-GigabitEthernet1/0/4和Ten-GigabitEthernet1/0/5加入VLAN3。
<DeviceA> system-view
[DeviceA] vlan 2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/3
[DeviceA-vlan2] quit
[DeviceA] vlan 3
[DeviceA-vlan3] port ten-gigabitethernet 1/0/4
[DeviceA-vlan3] port ten-gigabitethernet 1/0/5
[DeviceA-vlan3] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 創建隔離組1和隔離組2。
[DeviceA] port-isolate group 1
[DeviceA] port-isolate group 2
# 將端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3加入隔離組1;將Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5加入隔離組2。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port-isolate enable group 1
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port-isolate enable group 1
[DeviceA-Ten-GigabitEthernet1/0/3] quit
[DeviceA] interface ten-gigabitethernet 1/0/4
[DeviceA-Ten-GigabitEthernet1/0/4] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/4] quit
[DeviceA] interface ten-gigabitethernet 1/0/5
[DeviceA-Ten-GigabitEthernet1/0/5] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/5] quit
# 顯示所有隔離組的信息。
[DeviceA] display port-isolate group
Port isolation group information:
Group ID: 1
Group members:
Ten-GigabitEthernet1/0/2
Ten-GigabitEthernet1/0/3
Group ID: 2
Group members:
Ten-GigabitEthernet1/0/4
Ten-GigabitEthernet1/0/5
以上信息顯示:
· DeviceA上的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3已經加入隔離組1,從而實現二層隔離,分別對應的Host A和Host B彼此之間不能Ping通。
· Device A上的端口Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5已經加入隔離組2,從而實現二層隔離,分別對應的Host C和Host D彼此之間不能Ping通。
#
port-isolate group 1
port-isolate group 2
#
vlan 2 to 3
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
port-isolate enable group 1
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port access vlan 2
port-isolate enable group 1
#
interface Ten-GigabitEthernet1/0/4
port link-mode bridge
port access vlan 3
port-isolate enable group 2
#
interface Ten-GigabitEthernet1/0/5
port link-mode bridge
port access vlan 3
port-isolate enable group 2
#
· H3C S6800係列以太網交換機 二層技術-以太網交換機配置指導-Release 26xx係列
· H3C S6800係列以太網交換機 二層技術-以太網交換機命令參考-Release 26xx係列
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
