H3C 端口隔离典型配置举例(隔离指的是一个vlan内的事情,作用于一个vlan内)
H3C 端口隔离典型配置举例(隔离指的是一个vlan内的事情,作用于一个vlan内)
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。
配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。
端口隔离特性与以太网端口所属的VLAN 无关。
当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。
对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。
当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
配置隔离组:
第一步: 创建隔离组1 和隔离组2
port-isolate group 1
port-isolate group 2
第二步:将端口加入到隔离组
interface GigabitEthernet 1/0/1
port-isolate enable group 1
interface GigabitEthernet 1/0/2
port-isolate enable group 1
interface GigabitEthernet 1/0/3
port-isolate enable group 3
interface GigabitEthernet 1/0/4
port-isolate enable group 3
第三步:查看隔离信息
display port-isolate group
端口隔离典型配置举例
组网需求
如图1 所示:
Site 1 和Site 2 是某公司的两个部门,分别在VLAN 2 和VLAN 3 上承载业务,并接入
Device A。
Device A 通过Ten-GigabitEthernet1/0/1 端口与外部网络相连。
公司希望这两个部门都可以通过Device A 和外部网络通信,但两部门内部的二层流量都互相
隔离。
图1 配置端口隔离组网图
配置注意事项
在设备上将端口加入到指定的隔离组中前,必须先完成该隔离组的创建。
一个端口最多只能加入一个隔离组。
配置步骤
# 在 Device A 上创建 VLAN 2 和 VLAN 3,将端口 Ten-GigabitEthernet1/0/1 的链路类型配置为
Trunk,并允许
VLAN 2 和 VLAN 3 的报文通过。将端口 Ten-GigabitEthernet1/0/2 和
Ten-GigabitEthernet1/0/3 加入VLAN2;将端口Ten-GigabitEthernet1/0/4
和Ten-GigabitEthernet1/0/5
加入VLAN3。
<DeviceA> system-view
[DeviceA] vlan 2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/2
[DeviceA-vlan2] port ten-gigabitethernet 1/0/3
[DeviceA-vlan2] quit
[DeviceA] vlan 3
[DeviceA-vlan3] port ten-gigabitethernet 1/0/4
[DeviceA-vlan3] port ten-gigabitethernet 1/0/5
[DeviceA-vlan3] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 创建隔离组1 和隔离组2。
[DeviceA] port-isolate group 1
[DeviceA-port-isolate-group1] quit
[DeviceA] port-isolate group 2
[DeviceA-port-isolate-group2] quit
# 将端口 Ten-GigabitEthernet1/0/2 、Ten-GigabitEthernet1/0/3 加入隔离组 1 ;将 Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5 加入隔离组2。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port-isolate enable group 1
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port-isolate enable group 1
[DeviceA-Ten-GigabitEthernet1/0/3] quit
[DeviceA] interface ten-gigabitethernet 1/0/4
[DeviceA-Ten-GigabitEthernet1/0/4] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/4] quit
[DeviceA] interface ten-gigabitethernet 1/0/5
[DeviceA-Ten-GigabitEthernet1/0/5] port-isolate enable group 2
[DeviceA-Ten-GigabitEthernet1/0/5] quit
验证配置
# 显示所有隔离组的信息。
[DeviceA] display port-isolate group
Port isolation group information:
Group ID: 1
Group members:
Ten-GigabitEthernet1/0/2 Ten-GigabitEthernet1/0/3
Community VLAN ID: None
Group ID: 2
Group members:
Ten-GigabitEthernet1/0/4 Ten-GigabitEthernet1/0/5
Community VLAN ID: None
以上信息显示:
DeviceA 上的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3 已经加入隔离组1,
从而实现二层隔离,分别对应的Host A 和Host B 彼此之间不能Ping 通。
Device A 上的端口 Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5 已经加入隔离组 2,
从而实现二层隔离,分别对应的Host C 和Host D 彼此之间不能Ping 通。
陈-实验:二层隔离,HCL模拟器不支持这个实验-2021.1.6
配置隔离组:
# 创建隔离组1 和隔离组2。
port-isolate group 1
port-isolate group 2
#将端口加入到隔离组
interface GigabitEthernet 1/0/1
port-isolate enable group 1
interface GigabitEthernet 1/0/2
port-isolate enable group 1
interface GigabitEthernet 1/0/3
port-isolate enable group 3
interface GigabitEthernet 1/0/4
port-isolate enable group 3
#查看隔离信息
display port-isolate group
[core-sw]int range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/2
[core-sw-if-range]port-isolate enable g
[core-sw-if-range]port-isolate enable group ?
INTEGER<1-8> Port isolation group ID
[core-sw-if-range]port-isolate enable group 1
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » H3C 端口隔离典型配置举例(隔离指的是一个vlan内的事情,作用于一个vlan内)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm