06-端口隔离典型配置举例
本章节下载: 06-端口隔离典型配置举例 (141.98 KB)
本章介绍了采用端口隔离特性,实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。
如图1所示,Host A和Host B属同一VLAN,使用端口隔离功能实现Host A和Host B不能互访,但都可以与服务器Server及外部网络进行通信。
将端口加入隔离组前,请先确保端口的链路模式为bridge,即端口工作在二层模式下。
# 创建VLAN 100,将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4加入VLAN 100。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[SwitchA-vlan100] quit
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-isolate enable
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port-isolate enable
[SwitchA-GigabitEthernet1/0/2] quit
# 使用display port-isolate group命令查看Switch A上隔离组中的信息。显示信息的描述请参见表1。
<SwitchA> display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
表1 display port-isolate group命令显示信息描述表
字段 |
描述 |
Port-isolate group information |
显示端口隔离组的信息 |
Uplink port support |
是否支持配置上行端口 |
Group ID |
隔离组编号 |
Group members |
隔离组中包含的普通端口(非上行端口) |
#
vlan 100
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/3
port access vlan 100
#
interface GigabitEthernet1/0/4
port access vlan 100
#
如图2所示,某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口相连。要求在使用端口隔离功能的情况下同时实现以下需求:
· 各部门与外界网络可以互访。
· 每天8:00~12:00的时间段,允许Host A访问行政部门的服务器,拒绝其它的IP报文通过。
· 每天14:00~16:00的时间段,允许Host B访问行政部门的服务器,拒绝其它的IP报文通过。
· 其他时间段,各部门之间不能互访。
要实现隔离端口间的互访,需要在网关设备上使用本地代理ARP功能。然而,启用本地代理ARP之后,接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此,还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。
# 配置Switch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100;并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔离组中,以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[SwitchB-vlan100] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port-isolate enable
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port-isolate enable
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port-isolate enable
[SwitchB-GigabitEthernet1/0/3] quit
# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33,子网掩码为24位。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] port gigabitethernet 1/0/4
[SwitchA-vlan100] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip address 10.1.1.33 255.255.255.0
# 在Switch A上配置本地代理ARP,实现部门之间的三层互通。
[SwitchA-Vlan-interface100] local-proxy-arp enable
[SwitchA-Vlan-interface100] quit
# 在Switch A上定义两个工作时间段,分别是trname_1,周期时间范围为每天的8:00~12:00;trname_2,周期时间范围为每天的14:00~16:00。
[SwitchA] time-range trname_1 8:00 to 12:00 daily
[SwitchA] time-range trname_2 14:00 to 16:00 daily
# 在Switch A上定义到行政部门服务器的三条访问规则。
· 允许Host A访问行政部门的服务器。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1
· 允许Host B访问行政部门的服务器。
[SwitchA-acl-adv-3000] rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2
· 禁止各部门间的互访。
[SwitchA-acl-adv-3000] rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31
[SwitchA-acl-adv-3000] quit
# 在端口GigabitEthernet1/0/4上应用高级IPv4 ACL,以对该端口收到的IPv4报文进行过滤。
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] packet-filter 3000 inbound
[SwitchA-GigabitEthernet1/0/4] quit
# 使用display port-isolate group命令查看Switch B上隔离组的信息。
[SwitchB] display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3
# 显示Switch A上的配置信息。
· 在VLAN接口视图下通过display this命令显示VLAN 100的信息。
[SwitchA-Vlan-interface100] display this
#
interface Vlan-interface100
ip address 10.1.1.33 255.255.255.0
local-proxy-arp enable
#
return
· 通过display acl 3000命令显示Switch A上的访问规则。
[SwitchA] display acl 3000
Advanced ACL 3000, named -none-, 3 rules,
ACL's step is 5
rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1
rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2
rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31
· Switch B:
#
vlan 100
#
interface GigabitEthernet1/0/1
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/3
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/4
port access vlan 100
#
· Switch A:
#
time-range trname_1_8:00 to 12:00 daily
time-range trname_2 14:00 to 16:00 daily
#
acl number 3000
rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1
rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2
rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31
#
vlan 100
#
interface Vlan-interface 100
ip address 10.1.1.33 255.255.255.0
local-proxy-arp enable
#
interface GigabitEthernet1/0/4
port access vlan 100
packet-filter 3000 inbound
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!