端口隔離典型配置舉例_第1頁
端口隔離典型配置舉例_第2頁
端口隔離典型配置舉例_第3頁
端口隔離典型配置舉例_第4頁
端口隔離典型配置舉例_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、端口隔離典型配置舉例1 端口隔離典型配置舉例1.1 簡介本章介紹了采用端口隔離特性,實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現隔離組內端口之間數據的隔離。1.2 端口隔離限制設備間互訪典型配置舉例1.2.1 適用產品和版本表1 配置適用的產品與軟件版本關系產品軟件版本S10500系列以太網交換機Release 1120系列,Release 1130系列,Release 1200系列S5800&S5820X系列以太網交換機Release 1808S5830系列以太網交換機Release 1115,Release 1118S5500-EI&S5500-SI系列以太

2、網交換機Release 22201.2.2 組網需求如圖1所示,Host A和Host B屬同一VLAN,使用端口隔離功能實現Host A和Host B不能互訪,但都可以與服務器Server及外部網絡進行通信。圖1 端口隔離典型配置組網圖1.2.3 配置注意事項(1)將端口加入隔離組前,請先確保端口的鏈路模式為bridge,即端口工作在二層模式下。(2)同一端口不能同時配置為業(yè)務環(huán)回組成員端口和隔離組端口,即業(yè)務環(huán)回組成員端口不能加入隔離組。1.2.4 配置步驟# 創(chuàng)建VLAN 100 ,并將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、Gigabit

3、Ethernet1/0/3、GigabitEthernet1/0/4全部加入VLAN 100。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4SwitchA-vlan100 quit# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔離組。SwitchA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-isolate enabl

4、eSwitchA-GigabitEthernet1/0/1 quitSwitchA interface gigabitethernet 1/0/2SwitchA-GigabitEthernet1/0/2 port-isolate enableSwitchA-GigabitEthernet1/0/2 quit1.2.5 驗證配置# 使用display port-isolate group命令顯示Switch A上隔離組中的信息。顯示信息的描述請參見表2。 display port-isolate groupPort-isolate group information:Uplink port su

5、pport: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2表2 display port-isolate group命令顯示信息描述表字段描述Port-isolate group information顯示端口隔離組的信息Uplink port support是否支持配置上行端口Group ID隔離組編號Group members隔離組中包含的普通端口(非上行端口)1.2.6 配置文件S5500-SI系列交換機不支持port link-mode bridge命令。#vlan 100#interface

6、GigabitEthernet1/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100#interface GigabitEthernet1/0/4port link-mode bridgeport

7、access vlan 100#1.3 隔離端口間的定時互訪典型配置舉例1.3.1 適用產品和版本表3 配置適用的產品與軟件版本關系產品軟件版本S10500系列以太網交換機Release 1120系列,Release 1130系列,Release 1200系列S5800&S5820X系列以太網交換機Release 1808S5830系列以太網交換機Release 1115,Release 1118S5500-EI&S5500-SI系列以太網交換機Release 22201.3.2 組網需求如圖2所示,某公司內部的研發(fā)部門、市場部門和行政部門分別與Switch B上的端口相連。要求在使用端口隔離

8、功能的情況下同時實現以下需求:各部門與外界網絡互訪。在每天8:0012:00的時間段內,允許Host A訪問行政部門的服務器,拒絕其它的IP報文通過。在每天14:0016:00的時間段內,允許Host B訪問行政部門的服務器,拒絕其它的IP報文通過。在其他時間段,各部門之間不能互訪。圖2 隔離端口間的定時互訪組網圖1.3.3 配置思路要實現隔離端口間的互訪,需要在網關設備上使用本地代理ARP功能。然而,啟用本地代理ARP之后,接入層設備上的隔離端口都可互訪或某一IP地址范圍內的設備可互訪。因此,還需要結合網關設備的報文過濾功能以實現隔離端口間的定時訪問。1.3.4 配置步驟1. Switch

9、B的配置# 配置Switch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4屬于同一VLAN 100;并將端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔離組中,以實現研發(fā)部門、市場部門和行政部門彼此之間二層報文不能互通。 system-viewSwitchB vlan 100SwitchB-vlan100 port gigabitethernet 1/0/1 to gig

10、abitethernet 1/0/4SwitchB-vlan100 quitSwitchB interface gigabitethernet 1/0/1SwitchB-GigabitEthernet1/0/1 port-isolate enableSwitchB-GigabitEthernet1/0/1 quitSwitchB interface gigabitethernet 1/0/2SwitchB-GigabitEthernet1/0/2 port-isolate enableSwitchB-GigabitEthernet1/0/2 quitSwitchB interface giga

11、bitethernet 1/0/3SwitchB-GigabitEthernet1/0/3 port-isolate enableSwitchB-GigabitEthernet1/0/3 quit2. Switch A的配置# 在Switch A上配置VLAN接口100的IP地址為10.1.1.33,掩碼為24位。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/4SwitchA-vlan100 interface vlan-interface 100SwitchA-Vlan-interface100 ip

12、 address 10.1.1.33 255.255.255.0# 在Switch A上配置本地代理ARP,實現部門之間的三層互通。SwitchA-Vlan-interface100 local-proxy-arp enableSwitchA-Vlan-interface100 quit# 在Switch A上定義兩個工作時間段,分別是trname_1,周期時間范圍為每天的8:0012:00; trname_2,周期時間范圍為每天的14:0016:00。SwitchA time-range trname_1 8:00 to 12:00 dailySwitchA time-range trnam

13、e_2 14:00 to 16:00 daily# 在Switch A上定義到行政部門服務器的三條訪問規(guī)則。允許Host A訪問行政部門的服務器。SwitchA acl number 3000SwitchA-acl-adv-3000 rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1允許Host B訪問行政部門的服務器。SwitchA-acl-adv-3000 rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-rang

14、e trname_2禁止各部門間的互訪。SwitchA-acl-adv-3000 rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31SwitchA-acl-adv-3000 quit# 在端口GigabitEthernet1/0/4上應用高級IPv4 ACL,以對該端口收到的IPv4報文進行過濾。SwitchA interface gigabitethernet 1/0/4SwitchA-GigabitEthernet1/0/4 packet-filter 3000 inboundSwitchA-Gigabit

15、Ethernet1/0/4 quit1.3.5 驗證配置# 使用display port-isolate group命令顯示Switch B上隔離組的信息。SwitchB display port-isolate groupPort-isolate group information:Uplink port support: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3# 顯示Switch A上的配置信息在VLAN接口視圖下通過displaythis命令顯示VL

16、AN 100的信息。SwitchA-Vlan-interface100display this#interface Vlan-interface100ip address 10.1.1.33 255.255.255.0local-proxy-arp enable#return通過display acl 3000命令顯示Switch A上的訪問規(guī)則。SwitchAdisplay acl 3000Advanced ACL 3000, named -none-, 3 rules,ACLs step is 5rule 0 permit ip source 10.1.1.1 0 destination

17、10.1.1.24 0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.311.3.6 配置文件S5500-SI系列交換機不支持port link-mode bridge命令。Switch B:#vlan 100#interface GigabitEthernet1/0/1port link-mode bridge

18、port access vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 100#Switch A:#time-range trname_1_8:00 to 12:00 dailytime-range trname_2 14:00 to 16:00 daily#acl number 3000rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論