欢迎user
08-端口隔离典型配置指导
本章节下载 (106.61 KB)
目 录
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。
l 小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连
l 交换机通过Ethernet1/0/1端口与外部网络相连
l 小区用户PC2、PC3和PC4之间两两不能互通
表1-1 配置适用的交换机产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
<Switch> system-view
System View: return to User View with Ctrl+Z.
[Switch] interface ethernet1/0/2
[Switch-Ethernet1/0/2] port isolate
[Switch-Ethernet1/0/2] quit
[Switch] interface ethernet1/0/3
[Switch-Ethernet1/0/3] port isolate
[Switch-Ethernet1/0/3] quit
[Switch] interface ethernet1/0/4
[Switch-Ethernet1/0/4] port isolate
[Switch-Ethernet1/0/4] quit
[Switch]
# 显示隔离组中的端口信息。
<Switch> display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
#
interface Ethernet1/0/2
port isolate
#
interface Ethernet1/0/3
port isolate
#
interface Ethernet1/0/4
port isolate
#
l 当汇聚组中的某个端口加入或离开隔离组后,本地Unit中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。
l 对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
l 如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。
l 当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
l S3600系列交换机在开启IRF特性形成Fabirc后,将支持跨设备的端口隔离,即不同Unit上的端口,可以加入到同一隔离组中。
l S3600系列交换机在开启IRF特性形成Fabirc后,当在某个跨设备聚合组的端口上配置端口隔离时,该配置不会在其他Unit的同一聚合组内同步。也即是说,如果需要对某个跨设备聚合组的多个端口配置端口隔离时,需要在该聚合组的每一个端口上分别进行配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!