登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-二层技术-以太网交换配置举例

目录

00-H3C S12500 端口隔离典型配置举例

本章节下载 00-H3C S12500 端口隔离典型配置举例  (126.71 KB)

00-H3C S12500 端口隔离典型配置举例

H3C S12500 端口隔离配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 配置文件

4 相关资料

 

1  简介

本文档介绍了端口隔离的配置举例。

采用端口隔离特性,可以在无关VLAN的情况下实现端口之间的二层隔离(例如,实现同一VLAN内端口之间的隔离)。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解端口隔离特性。

3  配置举例

3.1  组网需求

图1所示:Device A的端口GE3/0/1GE3/0/2GE3/0/3GE3/0/4均属于VLAN 10,其中GE3/0/4与外部网络相连。要求使用端口隔离技术,实现用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。

图1 端口隔离配置组网图

 

 

3.2  配置思路

要实现用户Host A、Host B和Host C之间二层隔离,将Device A的用户侧端口GE3/0/1GE3/0/2GE3/0/3加入同一隔离组即可。

为了使用户可以访问外部网络,Device A接入外部网络的上行端口GE3/0/4需要和用户侧端口二层互通,因此上行端口GE3/0/4不加入隔离组。

3.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

3.4  配置步骤

# Host AHost BHost CIP地址配置在1.1.1.0/24网段,网关地址均指定为1.1.1.11/24,具体配置过程略。

# Device A上创建VLAN 10 ,且将端口GE3/0/1GE3/0/2GE3/0/3GE3/0/4全部加入VLAN 10

<DeviceA> system-view

[DeviceA] vlan 10

[DeviceA-vlan10] quit

[DeviceA] interface range GigabitEthernet 3/0/1 to GigabitEthernet 3/0/4

[DeviceA-if-range] undo shutdown 

[DeviceA-if-range] port access vlan 10

[DeviceA-if-range] quit

# 创建VLAN接口Vlan-interface10,为其配置IP地址。

[DeviceA] interface vlan-interface 10

[DeviceA-Vlan-interface10] undo shutdown

[DeviceA-Vlan-interface10] ip address 1.1.1.11 255.255.255.0

[DeviceA-Vlan-interface10] quit

# 创建端口隔离组1

[DeviceA] port-isolate group 1

[DeviceA-port-isolate-group1] quit

# 将端口GigabitEthernet3/0/1GigabitEthernet3/0/2GigabitEthernet3/0/3加入端口隔离组1

[DeviceA] interface GigabitEthernet 3/0/1

[DeviceA-GigabitEthernet3/0/1] port-isolate enable group 1

[DeviceA-GigabitEthernet3/0/1] quit

[DeviceA] interface GigabitEthernet 3/0/2

[DeviceA-GigabitEthernet3/0/2] port-isolate enable group 1

[DeviceA-GigabitEthernet3/0/2] quit

[DeviceA] interface GigabitEthernet 3/0/3

[DeviceA-GigabitEthernet3/0/3] port-isolate enable group 1

[DeviceA-GigabitEthernet3/0/3] quit

3.5  验证配置

(1)     查看隔离组1中的信息,验证以上配置是否生效。

[DeviceA] display port-isolate group 1

Port-isolate group information:

Uplink port support: NO

Group ID: 1

Group members:

   GigabitEthernet3/0/1     GigabitEthernet3/0/2     GigabitEthernet3/0/3

由此可见,DeviceA的用户侧端口GE3/0/1GE3/0/2GE3/0/3已加入隔离组1。

(2)     主机Host A、Host B和Host C两两之间进行ping操作,不能ping通。在主机上查看ARP表项,发现主机没有学到对端的MAC地址,可见两个主机二层隔离。

(3)     主机Host A、Host B和Host C分别和上行端口GE3/0/4所连接的网络(例如一台IP地址在1.1.1.0/24网段的设备)进行互相的ping操作,可以ping通。

3.6  配置文件

#

vlan 10

#

port-isolate group 1

#

interface Vlan-interface10

 ip address 1.1.1.11 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 10

 port-isolate enable group 1

#

interface GigabitEthernet3/0/4

 port link-mode bridge

 port access vlan 10

#

4  相关资料

·     《H3C S12500系列路由交换机  二层技术-以太网交换配置指导》中的“端口隔离”

·     《H3C S12500系列路由交换机  二层技术-以太网交换命令参考》中的“端口隔离”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们