- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
43-访问管理操作
本章节下载 (675.61 KB)
目 录
用户通过以太网交换机接入外部网络是一种典型的以太网接入组网方案:外部网络与以太网交换机相连,以太网交换机与HUB相连,HUB汇集数量不等的PC。组网示意图如图1-1所示。
当以太网交换机接入的用户数量不多时,从成本方面考虑,分配给不同机构的端口要求属于同一个VLAN。同时,为每个机构分配固定的IP地址范围,只有IP地址在该地址范围内的用户才能通过该端口接入外部网络。另外,出于安全的考虑,不同机构之间不能互通。利用以太网交换机提供的端口间的二层隔离功能可以实现这些需求。下面将结合图1-1用一个实例来具体说明。
机构1和机构2同处一个VLAN,通过同一台以太网交换机与外部网络相连。分配给机构1的IP地址范围为202.10.20.1~202.10.20.20,只有IP地址在该地址范围内的PC才能通过端口1接入外部网络(也就是将端口1和IP地址202.10.20.1~202.10.20.20进行了绑定)。同样,分配给机构2的IP地址范围为202.10.20.21~202.10.20.50,只有IP地址在该范围内的PC才能通过端口2接入外部网络(也就是将端口2和IP地址202.10.20.21~202.10.20.50进行了绑定)。
由于两个机构的网络设备处在同一个VLAN中,如果不采用有效的隔离措施,机构1内的PC将有可能和机构2中的PC实现互通。通过在以太网交换机的端口上配置二层隔离功能,可以控制从端口1发出的报文不被端口2接收,端口2发出的报文不被端口1接收,从而将端口1与端口2隔离开来,保证了各机构的PC只能与机构内的其他PC正常通信。
访问管理的主要配置包括:
l 开启访问管理功能
l 配置基于端口的访问管理IP地址池
l 配置端口间的二层隔离
l 开启访问管理告警功能
可以通过下面的命令开启访问管理功能。只有开启访问管理功能,在各端口下配置的控制三层转发的IP地址池才会生效。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启访问管理功能 |
am enable |
必选 缺省情况下,访问管理功能处于关闭状态 |
可以通过下面的命令设置某端口的访问管理IP地址池。以太网交换机允许以该IP地址池中地址为源IP地址的报文通过该端口进行三层转发。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口的访问管理IP地址池 |
am ip-pool address-list |
必选 缺省情况下,端口访问管理IP地址池为空,即允许所有报文通过 |
& 说明:
l 配置端口的访问管理IP地址池前,必须先配置该端口所属的三层接口的IP地址,且二者必须在同一网段。
l 配置端口的访问管理IP地址池时,如果在此地址池内的IP地址是已配置的其他端口静态ARP中的IP地址,则系统将提示用户删除对应的静态ARP,以保证绑定生效。
l 如果只想在访问管理IP地址池中的地址能通过指定端口进行三层交换,则不在地址池中的IP地址不能配置静态ARP,否则将导致访问管理。
l 不能够配置AM限制的IP的静态ARP,否则AM功能失效。
通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二层数据的隔离。关于端口隔离的原理与详细配置可参见“端口隔离”模块。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
将以太网端口加入到隔离组中 |
port isolate |
必选 缺省情况下,以太网端口没有加入隔离组 |
需要注意的是:
(1) 一个unit只支持一个隔离组,不同unit的隔离组之间没有影响。即同一个unit上隔离组中端口只与该组内的端口隔离,而不与其他unit上隔离组内的端口隔离。
(2) 端口隔离属性会在聚合组内的相同unit上同步,具体如下:
l 当一个聚合组中的端口加入/离开隔离组时,该聚合组中的同一个unit上的其他所有端口均加入/离开隔离组。
l 同一个聚合组中同一个unit上的端口的隔离属性保持一致。
l 当端口离开聚合组时,端口的隔离属性不发生改变。
l 如果一个聚合组内的端口在unit1上隔离,那么这个聚合组就同unit1上隔离组内的所有端口两两隔离。
l 如果该聚合组中所有unit1上的端口都离开了聚合组,则该聚合组的隔离属性将去掉,即该聚合组不再与unit1上隔离组内的端口两两隔离。
可以通过下面的命令开启访问管理告警功能。当开启该功能后,访问管理的Trap信息就会被发送到控制台,以便于监控。
表1-4 开启访问管理告警功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启访问管理告警功能 |
am trap enable |
必选 缺省情况下,关闭访问管理告警功能 |
在完成上述配置后,在任意视图下执行display命令可以显示访问管理的配置信息及端口隔离信息,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示访问管理开启状态及IP地址池配置信息 |
display am [ interface-list ] |
|
显示端口隔离信息 |
display isolate port |
机构1连接到以太网交换机的端口1,机构2连接到以太网交换机的端口2。端口1和端口2属于同一个VLAN。端口1下可以接入的IP地址范围为202.10.20.1~202.10.20.20;端口2下可以接入的IP地址范围为202.10.20.21~202.10.20.50;机构1和机构2的设备不能互通。
# 开启访问管理功能。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] am enable
# 配置端口1上的访问管理IP地址池。
[H3C] interface ethernet1/0/1
[H3C-Ethernet1/0/1] am ip-pool 202.10.20.1 20
# 将端口1加入隔离组。
[H3C-Ethernet1/0/1] port isolate
# 配置端口2上的访问管理IP地址池。
[H3C-Ethernet1/0/1] quit
[H3C] interface ethernet1/0/2
[H3C-Ethernet1/0/2] am ip-pool 202.10.20.21 30
# 将端口2加入隔离组。
[H3C-Ethernet1/0/2] port isolate
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
