• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-接入分册

04-端口隔离配置

本章节下载 04-端口隔离配置  (115.63 KB)

04-端口隔离配置


第1章  端口隔离配置

下表列出了本章所包含的内容。

如果您需要……

请阅读……

了解端口隔离的基本原理和概念

端口隔离简介

了解端口隔离的配置任务及配置过程

端口隔离配置

配置举例

端口隔离配置举例

 

  注意

LSB1XP4CA0和LSB1XP4B0单板不支持端口隔离。

 

1.1  端口隔离简介

通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。

1.2  端口隔离配置

l              配置隔离组

l              配置隔离组的上行端口

l              配置隔离组的隔离端口

&  说明:

隔离端口所在的VLAN上不能配置三层虚接口,否则可能会出现三层报文转发不通。

 

1.2.1  配置隔离组

表1-1 配置隔离组

操作

命令

说明

进入系统视图

system-view

-

配置隔离组

port-isolate group isolate-group-id

必选

隔离组内的端口只能与上行端口进行通信,隔离端口和上行端口须配置在同一个VLAN内

查询隔离信息

display port-isolate group [ isolate-group-id ] [ verbose ]

可在任意视图下执行

 

1.2.2  配置隔离组的上行端口

表1-2 配置隔离组的上行端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图或者RPR端口视图

interface interface-type interface-number

必选

配置隔离组的上行端口

port-isolate uplink-port group isolate-group-id

必选

l      只有在创建隔离组后才能配置该隔离组的上行端口

l      上行端口只能是以太网口或RPR逻辑接口

l      一个隔离组的上行端口只能有一个,可以是手工聚合组,但不能是静态聚合组或动态聚合组

查询隔离信息

display port-isolate group [ isolate-group-id ] [ verbose ]

可在任意视图下执行

 

1.2.3  配置隔离组的隔离端口

表1-3 配置隔离组的隔离端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图或者RPR端口视图

interface interface-type interface-number

必选

配置隔离组的隔离端口

port-isolate group isolate-group-id

必选

l      只有在创建隔离组后才能配置该隔离组的隔离端口;隔离端口只能是以太网口或RPR逻辑接口

l      一个端口只能加入一个隔离组

l      一个端口可以既是隔离端口也可以是上行端口,但不能是同一个隔离组的隔离端口和上行端口

l      如果隔离端口是聚合组的成员,聚合组的其他端口也将加入隔离组

查询隔离信息

display port-isolate group [ isolate-group-id ] [ verbose ]

可在任意视图下执行

 

1.3  端口隔离配置举例

1. 配置任务

用户端口Ethernet4/1/1、Ethernet4/1/2和Ethernet4/1/3都属于VLAN 100,通过配置端口隔离,使用户端口之间不能进行二层互访,但是都可以和上行端口GigabitEthernet3/1/1互访。

2. 配置组网

图1-1 端口隔离组网示意图

3. 配置过程

# 创建VLAN 100,并把端口Ethernet4/1/1~Ethernet4/1/3加入该VLAN中。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] vlan 100

[H3C-vlan100] port Ethernet 4/1/1 to Ethernet 4/1/3

[H3C-vlan100] quit

# 创建隔离组1。

[H3C] port-isolate group 1

# 把端口Ethernet4/1/1、Ethernet4/1/2和Ethernet4/1/3加入隔离组中

[H3C] interface ethernet4/1/1

[H3C-Ethernet4/1/1] port-isolate group 1

[H3C-Ethernet4/1/1] interface ethernet4/1/2

[H3C-Ethernet4/1/2] port-isolate group 1

[H3C-Ethernet4/1/2] interface ethernet4/1/3

[H3C-Ethernet4/1/3] port-isolate group 1

# 将端口GigabitEthernet3/1/1配置成Trunk,并允许VLAN 100通过,同时将其配置成隔离组1的上行端口

[H3C]interface GigabitEthernet3/1/1

[H3C-GigabitEthernet3/1/1] port link-type trunk

[H3C-GigabitEthernet3/1/1] port trunk permit vlan 100

[H3C-GigabitEthernet3/1/1] port-isolate uplink-port group 1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们