登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SOHO交换机 典型配置举例(Comware V5)-6W102

目录

06-端口隔离典型配置举例

本章节下载 06-端口隔离典型配置举例  (141.98 KB)

06-端口隔离典型配置举例

目  录

1 端口隔离典型配置举例

1.1 简介

1.2 端口隔离限制设备间互访典型配置举例

1.2.1 组网需求

1.2.2 配置注意事项

1.2.3 配置步骤

1.2.4 验证配置

1.2.5 配置文件

1.3 隔离端口间的定时互访典型配置举例

1.3.1 组网需求

1.3.2 配置思路

1.3.3 配置步骤

1.3.4 验证配置

1.3.5 配置文件

 

1  端口隔离典型配置举例

1.1  简介

本章介绍了采用端口隔离特性,实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。

1.2  端口隔离限制设备间互访典型配置举例

1.2.1  组网需求

图1所示,Host A和Host B属同一VLAN,使用端口隔离功能实现Host A和Host B不能互访,但都可以与服务器Server及外部网络进行通信。

图1 端口隔离典型配置组网图

 

1.2.2  配置注意事项

将端口加入隔离组前,请先确保端口的链路模式为bridge,即端口工作在二层模式下

1.2.3  配置步骤

# 创建VLAN 100,将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4加入VLAN 100。

<SwitchA> system-view

[SwitchA] vlan 100

[SwitchA-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4

[SwitchA-vlan100] quit

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] port-isolate enable

[SwitchA-GigabitEthernet1/0/1] quit

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] port-isolate enable

[SwitchA-GigabitEthernet1/0/2] quit

1.2.4  验证配置

# 使用display port-isolate group命令查看Switch A上隔离组中的信息。显示信息的描述请参见表1

<SwitchA> display port-isolate group

 Port-isolate group information:

 Uplink port support: NO

 Group ID: 1

 Group members:

    GigabitEthernet1/0/1     GigabitEthernet1/0/2

表1 display port-isolate group命令显示信息描述表

字段

描述

Port-isolate group information

显示端口隔离组的信息

Uplink port support

是否支持配置上行端口

Group ID

隔离组编号

Group members

隔离组中包含的普通端口(非上行端口)

 

1.2.5  配置文件

#

vlan 100

#

interface GigabitEthernet1/0/1

 port access vlan 100

 port-isolate enable

#

interface GigabitEthernet1/0/2

 port access vlan 100

 port-isolate enable

#

interface GigabitEthernet1/0/3

 port access vlan 100

#

interface GigabitEthernet1/0/4

 port access vlan 100

#

1.3  隔离端口间的定时互访典型配置举例

1.3.1  组网需求

图2所示,某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口相连。要求在使用端口隔离功能的情况下同时实现以下需求:

·     各部门与外界网络可以互访。

·     每天8:00~12:00的时间段,允许Host A访问行政部门的服务器,拒绝其它的IP报文通过。

·     每天14:00~16:00的时间段,允许Host B访问行政部门的服务器,拒绝其它的IP报文通过。

·     其他时间段,各部门之间不能互访。

图2 隔离端口间的定时互访组网图

 

1.3.2  配置思路

要实现隔离端口间的互访,需要在网关设备上使用本地代理ARP功能。然而,启用本地代理ARP之后,接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此,还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。

1.3.3  配置步骤

1. Switch B的配置

# 配置Switch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100;并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔离组中,以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。

<SwitchB> system-view

[SwitchB] vlan 100

[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4

[SwitchB-vlan100] quit

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] port-isolate enable

[SwitchB-GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] port-isolate enable

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] port-isolate enable

[SwitchB-GigabitEthernet1/0/3] quit

2. Switch A的配置

# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33,子网掩码为24位。

<SwitchA> system-view

[SwitchA] vlan 100

[SwitchA-vlan100] port gigabitethernet 1/0/4

[SwitchA-vlan100] interface vlan-interface 100

[SwitchA-Vlan-interface100] ip address 10.1.1.33 255.255.255.0

# 在Switch A上配置本地代理ARP,实现部门之间的三层互通。

[SwitchA-Vlan-interface100] local-proxy-arp enable

[SwitchA-Vlan-interface100] quit

# 在Switch A上定义两个工作时间段,分别是trname_1,周期时间范围为每天的8:00~12:00;trname_2,周期时间范围为每天的14:00~16:00。

[SwitchA] time-range trname_1 8:00 to 12:00 daily

[SwitchA] time-range trname_2 14:00 to 16:00 daily

# 在Switch A上定义到行政部门服务器的三条访问规则。

·     允许Host A访问行政部门的服务器。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1

·     允许Host B访问行政部门的服务器。

[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

·     禁止各部门间的互访。

[SwitchA-acl-adv-3000] rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

[SwitchA-acl-adv-3000] quit

# 在端口GigabitEthernet1/0/4上应用高级IPv4 ACL,以对该端口收到的IPv4报文进行过滤。

[SwitchA] interface gigabitethernet 1/0/4

[SwitchA-GigabitEthernet1/0/4] packet-filter 3000 inbound

[SwitchA-GigabitEthernet1/0/4] quit

1.3.4  验证配置

# 使用display port-isolate group命令查看Switch B上隔离组的信息。

[SwitchB] display port-isolate group

 Port-isolate group information:

 Uplink port support: NO

 Group ID: 1

 Group members:

    GigabitEthernet1/0/1    GigabitEthernet1/0/2    GigabitEthernet1/0/3

# 显示Switch A上的配置信息。

·     在VLAN接口视图下通过display this命令显示VLAN 100的信息。

[SwitchA-Vlan-interface100] display this

#

interface Vlan-interface100

 ip address 10.1.1.33 255.255.255.0

 local-proxy-arp enable

#

return

·     通过display acl 3000命令显示Switch A上的访问规则。

[SwitchA] display acl 3000

Advanced ACL  3000, named -none-, 3 rules,

ACL's step is 5

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1

 rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

 rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

1.3.5  配置文件

·     Switch B:

#

vlan 100

#

interface GigabitEthernet1/0/1

 port access vlan 100

 port-isolate enable

#

interface GigabitEthernet1/0/2

 port access vlan 100

 port-isolate enable

#

interface GigabitEthernet1/0/3

 port access vlan 100

 port-isolate enable

#

interface GigabitEthernet1/0/4

 port access vlan 100

#

·     Switch A:

#

 time-range trname_1_8:00 to 12:00 daily

 time-range trname_2 14:00 to 16:00 daily

#

acl number 3000

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1

 rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

 rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31

#

vlan 100

#

interface Vlan-interface 100

 ip address 10.1.1.33 255.255.255.0

 local-proxy-arp enable

#

interface GigabitEthernet1/0/4

 port access vlan 100

 packet-filter 3000 inbound

#

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们