10-端口隔离操作
本章节下载: 10-端口隔离操作 (128.1 KB)
端口隔离特性主要用于保护用户数据的私密性,防止恶意攻击者获取用户信息。通过端口隔离特性,管理员可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离(处于隔离组中端口不会向隔离组内的其它端口转发报文)。
加入到隔离组中的端口只能是同一台交换机的端口,或使能IRF特性形成Fabirc后不同Unit上的端口。
l 一台设备只支持建立一个隔离组,组内的以太网端口数量没有限制。
l 配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。
通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二层、三层数据的隔离。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
将以太网端口加入到隔离组中 |
port isolate |
必选 缺省情况下,隔离组中没有加入任何以太网端口 |
l 当汇聚组中的某个端口加入或离开隔离组后,同一汇聚组内的其它端口,均会自动加入或离开该隔离组。
l 对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
l 如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。
l 当隔离组中的某个端口加入聚合组时,本地Unit中该聚合组中的所有端口,将会自动加入隔离组中。
l S3600系列交换机在使能IRF特性形成Fabirc后,将支持跨设备的端口隔离,即不同Unit上的端口,可以加入到同一隔离组中。
l S3600系列交换机在使能IRF特性形成Fabirc后,当在某个跨设备聚合组的端口上配置端口隔离时,该配置不会在其他Unit的同一聚合组内同步,也即是说,如果需要对某个跨设备聚合组的多个端口配置端口隔离时,需要在该聚合组的每一个端口上分别进行配置。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口隔离后的运行情况。通过查看显示信息,用户可以验证配置的效果。
操作 |
命令 |
说明 |
显示已经加入到隔离组中的以太网端口信息 |
display isolate port |
display命令可以在任意视图下执行 |
l 小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连
l 交换机通过Ethernet1/0/1端口与外部网络相连
l 小区用户PC2、PC3和PC4之间两两不能互通
图1-1 端口隔离配置组网示例图
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface ethernet1/0/2
[Sysname-Ethernet1/0/2] port isolate
[Sysname-Ethernet1/0/2] quit
[Sysname] interface ethernet1/0/3
[Sysname-Ethernet1/0/3] port isolate
[Sysname-Ethernet1/0/3] quit
[Sysname] interface ethernet1/0/4
[Sysname-Ethernet1/0/4] port isolate
[Sysname-Ethernet1/0/4] quit
[Sysname] quit
# 显示隔离组中的端口信息。
<Sysname> display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!