端口隔離典型配置舉例_第1頁(yè)
端口隔離典型配置舉例_第2頁(yè)
端口隔離典型配置舉例_第3頁(yè)
端口隔離典型配置舉例_第4頁(yè)
端口隔離典型配置舉例_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1 端口隔離典型配置舉例1.1 簡(jiǎn)介本章介紹了采用端口隔離特性,實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實(shí)現(xiàn)隔離組內(nèi)端口之間數(shù)據(jù)的隔離。1.2 端口隔離限制設(shè)備間互訪典型配置舉例1.2.1 適用產(chǎn)品和版本表1 配置適用的產(chǎn)品與軟件版本關(guān)系產(chǎn)品軟件版本S10500系列以太網(wǎng)交換機(jī)Release 1120系列,Release 1130系列,Release 1200系列S5800&S5820X系列以太網(wǎng)交換機(jī)Release 1808S5830系列以太網(wǎng)交換機(jī)Release 1115,Release 1118S5500-EI&S5500-SI系列以太網(wǎng)交換機(jī)Releas

2、e 22201.2.2 組網(wǎng)需求如圖1所示,Host A和Host B屬同一VLAN,使用端口隔離功能實(shí)現(xiàn)Host A和Host B不能互訪,但都可以與服務(wù)器Server及外部網(wǎng)絡(luò)進(jìn)行通信。圖1 端口隔離典型配置組網(wǎng)圖1.2.3 配置注意事項(xiàng)(1)將端口加入隔離組前,請(qǐng)先確保端口的鏈路模式為bridge,即端口工作在二層模式下。(2)同一端口不能同時(shí)配置為業(yè)務(wù)環(huán)回組成員端口和隔離組端口,即業(yè)務(wù)環(huán)回組成員端口不能加入隔離組。1.2.4 配置步驟# 創(chuàng)建VLAN 100 ,并將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/

3、0/3、GigabitEthernet1/0/4全部加入VLAN 100。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4SwitchA-vlan100 quit# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔離組。SwitchA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-isolate enableSwitchA-G

4、igabitEthernet1/0/1 quitSwitchA interface gigabitethernet 1/0/2SwitchA-GigabitEthernet1/0/2 port-isolate enableSwitchA-GigabitEthernet1/0/2 quit1.2.5 驗(yàn)證配置# 使用display port-isolate group命令顯示Switch A上隔離組中的信息。顯示信息的描述請(qǐng)參見(jiàn)表2。 display port-isolate groupPort-isolate group information:Uplink port support: NOG

5、roup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2表2 display port-isolate group命令顯示信息描述表字段描述Port-isolate group information顯示端口隔離組的信息Uplink port support是否支持配置上行端口Group ID隔離組編號(hào)Group members隔離組中包含的普通端口(非上行端口)1.2.6 配置文件S5500-SI系列交換機(jī)不支持port link-mode bridge命令。#vlan 100#interface GigabitEth

6、ernet1/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100#interface GigabitEthernet1/0/4port link-mode bridgeport access vla

7、n 100#1.3 隔離端口間的定時(shí)互訪典型配置舉例1.3.1 適用產(chǎn)品和版本表3 配置適用的產(chǎn)品與軟件版本關(guān)系產(chǎn)品軟件版本S10500系列以太網(wǎng)交換機(jī)Release 1120系列,Release 1130系列,Release 1200系列S5800&S5820X系列以太網(wǎng)交換機(jī)Release 1808S5830系列以太網(wǎng)交換機(jī)Release 1115,Release 1118S5500-EI&S5500-SI系列以太網(wǎng)交換機(jī)Release 22201.3.2 組網(wǎng)需求如圖2所示,某公司內(nèi)部的研發(fā)部門、市場(chǎng)部門和行政部門分別與Switch B上的端口相連。要求在使用端口隔離功能的情況下同時(shí)實(shí)現(xiàn)

8、以下需求:各部門與外界網(wǎng)絡(luò)互訪。在每天8:0012:00的時(shí)間段內(nèi),允許Host A訪問(wèn)行政部門的服務(wù)器,拒絕其它的IP報(bào)文通過(guò)。在每天14:0016:00的時(shí)間段內(nèi),允許Host B訪問(wèn)行政部門的服務(wù)器,拒絕其它的IP報(bào)文通過(guò)。在其他時(shí)間段,各部門之間不能互訪。圖2 隔離端口間的定時(shí)互訪組網(wǎng)圖1.3.3 配置思路要實(shí)現(xiàn)隔離端口間的互訪,需要在網(wǎng)關(guān)設(shè)備上使用本地代理ARP功能。然而,啟用本地代理ARP之后,接入層設(shè)備上的隔離端口都可互訪或某一IP地址范圍內(nèi)的設(shè)備可互訪。因此,還需要結(jié)合網(wǎng)關(guān)設(shè)備的報(bào)文過(guò)濾功能以實(shí)現(xiàn)隔離端口間的定時(shí)訪問(wèn)。1.3.4 配置步驟1. Switch B的配置# 配置Sw

9、itch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4屬于同一VLAN 100;并將端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔離組中,以實(shí)現(xiàn)研發(fā)部門、市場(chǎng)部門和行政部門彼此之間二層報(bào)文不能互通。 system-viewSwitchB vlan 100SwitchB-vlan100 port gigabitethernet 1/0/1 to gigabitethern

10、et 1/0/4SwitchB-vlan100 quitSwitchB interface gigabitethernet 1/0/1SwitchB-GigabitEthernet1/0/1 port-isolate enableSwitchB-GigabitEthernet1/0/1 quitSwitchB interface gigabitethernet 1/0/2SwitchB-GigabitEthernet1/0/2 port-isolate enableSwitchB-GigabitEthernet1/0/2 quitSwitchB interface gigabitetherne

11、t 1/0/3SwitchB-GigabitEthernet1/0/3 port-isolate enableSwitchB-GigabitEthernet1/0/3 quit2. Switch A的配置# 在Switch A上配置VLAN接口100的IP地址為10.1.1.33,掩碼為24位。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/4SwitchA-vlan100 interface vlan-interface 100SwitchA-Vlan-interface100 ip address 1

12、0.1.1.33 255.255.255.0# 在Switch A上配置本地代理ARP,實(shí)現(xiàn)部門之間的三層互通。SwitchA-Vlan-interface100 local-proxy-arp enableSwitchA-Vlan-interface100 quit# 在Switch A上定義兩個(gè)工作時(shí)間段,分別是trname_1,周期時(shí)間范圍為每天的8:0012:00; trname_2,周期時(shí)間范圍為每天的14:0016:00。SwitchA time-range trname_1 8:00 to 12:00 dailySwitchA time-range trname_2 14:00

13、to 16:00 daily# 在Switch A上定義到行政部門服務(wù)器的三條訪問(wèn)規(guī)則。允許Host A訪問(wèn)行政部門的服務(wù)器。SwitchA acl number 3000SwitchA-acl-adv-3000 rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1允許Host B訪問(wèn)行政部門的服務(wù)器。SwitchA-acl-adv-3000 rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

14、禁止各部門間的互訪。SwitchA-acl-adv-3000 rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31SwitchA-acl-adv-3000 quit# 在端口GigabitEthernet1/0/4上應(yīng)用高級(jí)IPv4 ACL,以對(duì)該端口收到的IPv4報(bào)文進(jìn)行過(guò)濾。SwitchA interface gigabitethernet 1/0/4SwitchA-GigabitEthernet1/0/4 packet-filter 3000 inboundSwitchA-GigabitEthernet1/

15、0/4 quit1.3.5 驗(yàn)證配置# 使用display port-isolate group命令顯示Switch B上隔離組的信息。SwitchB display port-isolate groupPort-isolate group information:Uplink port support: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3# 顯示Switch A上的配置信息在VLAN接口視圖下通過(guò)displaythis命令顯示VLAN 100的信息。

16、SwitchA-Vlan-interface100display this#interface Vlan-interface100ip address 10.1.1.33 255.255.255.0local-proxy-arp enable#return通過(guò)display acl 3000命令顯示Switch A上的訪問(wèn)規(guī)則。SwitchAdisplay acl 3000Advanced ACL 3000, named -none-, 3 rules,ACLs step is 5rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24

17、0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.311.3.6 配置文件S5500-SI系列交換機(jī)不支持port link-mode bridge命令。Switch B:#vlan 100#interface GigabitEthernet1/0/1port link-mode bridgeport acces

18、s vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 100#Switch A:#time-range trname_1_8:00 to 12:00 dailytime-range trname_2 14:00 to 16:00 daily#acl number 3000rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論