• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S5830V2[S5820V2]系列以太网交换机 典型配置举例-Release22xx系列-6W100

目录

10-端口隔离典型配置举例

本章节下载 10-端口隔离典型配置举例  (140.35 KB)

10-端口隔离典型配置举例


1  端口隔离典型配置举例

1.1  简介

本章介绍了采用端口隔离特性,实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。

1.2  端口隔离限制设备间互访典型配置举例

1.2.1  适用产品和版本

表1 配置适用的产品与软件版本关系

产品

软件版本

S5830V2&S5820V2系列以太网交换机

Release 2208P01,Release 2210

 

1.2.2  组网需求

图1所示,Host A和Host B属同一VLAN,使用端口隔离功能实现Host A和Host B不能互访,但都可以与服务器Server及外部网络进行通信。

图1 端口隔离典型配置组网图

 

1.2.3  配置注意事项

(1)     将端口加入隔离组前,请先确保端口的链路模式为bridge,即端口工作在二层模式下

(2)     同一端口不能同时配置为业务环回组成员端口和隔离组端口,即业务环回组成员端口不能加入隔离组。

1.2.4  配置步骤

# 创建VLAN 100 ,并将端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/4全部加入VLAN 100。

<SwitchA> system-view

[SwitchA] vlan 100

[SwitchA-vlan100] port ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/4

[SwitchA-vlan100] quit

# 创建隔离组2。

[SwitchA] port-isolate group 2

# 将端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2加入隔离组。

[SwitchA] interface ten-gigabitethernet 1/0/1

[SwitchA-Ten-GigabitEthernet1/0/1] port-isolate enable group 2

[SwitchA-Ten-GigabitEthernet1/0/1] quit

[SwitchA] interface ten-gigabitethernet 1/0/2

[SwitchA-Ten-GigabitEthernet1/0/2] port-isolate enable group 2

[SwitchA-Ten-GigabitEthernet1/0/2] quit

1.2.5  验证配置

# 使用display port-isolate group命令显示Switch A上隔离组中的信息。显示信息的描述请参见表2

<SwitchA> display port-isolate group

Port isolation group information:

Group ID: 2

Group members:

Ten-GigabitEthernet1/0/1

Ten-GigabitEthernet1/0/2

表2 display port-isolate group命令显示信息描述表

字段

描述

Port-isolate group information

显示端口隔离组的信息

Group ID

隔离组编号

Group members

隔离组中包含的普通端口(非上行端口)

 

1.2.6  配置文件

#

vlan 100

#

interface Ten-GigabitEthernet1/0/1

 port access vlan 100

 port-isolate enable group 2

#

interface Ten-GigabitEthernet1/0/2

 port access vlan 100

 port-isolate enable group 2

#

interface Ten-GigabitEthernet1/0/3

 port access vlan 100

#

interface Ten-GigabitEthernet1/0/4

 port access vlan 100

#

1.3  隔离端口间的定时互访典型配置举例

1.3.1  适用产品和版本

表3 配置适用的产品与软件版本关系

产品

软件版本

S5830V2&S5820V2系列以太网交换机

Release 2208P01,Release 2210

 

1.3.2  组网需求

图2所示,某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口相连。要求在使用端口隔离功能的情况下同时实现以下需求:

·     各部门与外界网络互访:

·     在每天8:00~12:00的时间段内,允许Host A访问行政部门的服务器,拒绝其它的IP报文通过;

·     在每天14:00~16:00的时间段内,允许Host B访问行政部门的服务器,拒绝其它的IP报文通过。

·     在其他时间段,各部门之间不能互访。

图2 隔离端口间的定时互访组网图

 

1.3.3  配置思路

要实现隔离端口间的互访,需要在网关设备上使用本地代理ARP功能。然而,启用本地代理ARP之后,接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此,还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。

1.3.4  配置步骤

1. Switch B的配置

# 配置Switch B上的端口Ten-GigabitEthernet1/0/1、 Ten-GigabitEthernet1/0/2、 Ten-GigabitEthernet1/0/3和Ten-GigabitEthernet1/0/4属于同一VLAN 100;并将端口Ten-GigabitEthernet1/0/1、 Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/3加入到隔离组中,以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。

<SwitchB> system-view

[SwitchB] vlan 100

[SwitchB-vlan100] port ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/4

[SwitchB-vlan100] quit

[SwitchB] port-isolate group 2

[SwitchB] interface ten-gigabitethernet 1/0/1

[SwitchB-Ten-GigabitEthernet1/0/1] port-isolate enable group 2

[SwitchB-Ten-GigabitEthernet1/0/1] quit

[SwitchB] interface ten-gigabitethernet 1/0/2

[SwitchB-Ten-GigabitEthernet1/0/2] port-isolate enable group 2

[SwitchB-Ten-GigabitEthernet1/0/2] quit

[SwitchB] interface ten-gigabitethernet 1/0/3

[SwitchB-Ten-GigabitEthernet1/0/3] port-isolate enable group 2

[SwitchB-Ten-GigabitEthernet1/0/3] quit

2. Switch A的配置

# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33,掩码为24位。

<SwitchA> system-view

[SwitchA] vlan 100

[SwitchA-vlan100] port ten-gigabitethernet 1/0/4

[SwitchA-vlan100] interface vlan-interface 100

[SwitchA-Vlan-interface100] ip address 10.1.1.33 255.255.255.0

# 在Switch A上配置本地代理ARP,实现部门之间的三层互通。

[SwitchA-Vlan-interface100] local-proxy-arp enable

[SwitchA-Vlan-interface100] quit

# 在Switch A上定义两个工作时间段,分别是trname_1,周期时间范围为每天的8:00~12:00; trname_2,周期时间范围为每天的14:00~16:00。

[SwitchA] time-range trname_1 8:00 to 12:00 daily

[SwitchA] time-range trname_2 14:00 to 16:00 daily

# 在Switch A上定义到行政部门服务器的三条访问规则。

·     允许Host A访问行政部门的服务器。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1

·     允许Host B访问行政部门的服务器。

[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

·     禁止各部门间的互访。

[SwitchA-acl-adv-3000] rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

[SwitchA-acl-adv-3000] quit

# 在端口Ten-GigabitEthernet1/0/4上应用高级IPv4 ACL,以对该端口收到的IPv4报文进行过滤。

[SwitchA] interface ten-gigabitethernet 1/0/4

[SwitchA-Ten-GigabitEthernet1/0/4] packet-filter 3000 inbound

[SwitchA-Ten-GigabitEthernet1/0/4] quit

1.3.5  验证配置

# 使用display port-isolate group命令显示Switch B上隔离组的信息。

[SwitchB] display port-isolate group

 Port-isolate group information:

 Group ID: 2

 Group members:

Ten-GigabitEthernet1/0/1

Ten-GigabitEthernet1/0/2

Ten-GigabitEthernet1/0/3

# 显示Switch A上的配置信息

·     在VLAN接口视图下通过display this命令显示VLAN 100的信息。

[SwitchA-Vlan-interface100]display this

#

interface Vlan-interface100

 ip address 10.1.1.33 255.255.255.0

 local-proxy-arp enable

#

return

·     通过display acl 3000命令显示Switch A上的访问规则。

[SwitchA]display acl 3000

Advanced ACL  3000, named -none-, 3 rules,

ACL's step is 5

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1(Active)

 rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2(Active)

 rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

1.3.6  配置文件

·     Switch B:

#

vlan 100

#

interface Ten-GigabitEthernet1/0/1

port access vlan 100

 port-isolate enable group 2

#

interface Ten-GigabitEthernet1/0/2

 port access vlan 100

 port-isolate enable group 2

#

interface Ten-GigabitEthernet1/0/3

port access vlan 100

 port-isolate enable group 2

#

interface Ten-GigabitEthernet1/0/4

port access vlan 100

#

·     Switch A:

#

 time-range trname_1 08:00 to 12:00 daily

 time-range trname_2 14:00 to 16:00 daily

#

acl number 3000

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1

 rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

 rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

#

vlan 100

#

interface Vlan-interface 100

 ip address 10.1.1.33 255.255.255.0

 local-proxy-arp enable

#

interface Ten-GigabitEthernet1/0/4

 port access vlan 100

 packet-filter 3000 inbound

#

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们