端口隔离典型配置举例

1、。1端口隔离的典型配置示例1.1导言本章介绍如何使用端口隔离功能来实现同一个VLAN的端口之间的隔离。用户只需在隔离组中添加端口，就可以实现隔离组中端口之间的数据隔离。1.2端口隔离限制设备间相互访问的典型配置示例1.2.1适用的产品和版本表1配置适用产品和软件版本关系制品软件版本S10500系列以太网交换机1120系列、1130系列、1200系列S5800S5820X系列以太网交换机版本1808S5830系列以太网交换机版本1115，版本1118S5500-EIS5500-SI系列以太网交换机版本22201.2.2联网要求如图1所示，主机A和主机B属于同一个VLAN。使用端口隔离功能，主机A

2、和主机B不能交换访问，但都可以与服务器和外部网络通信。图1端口隔离典型配置的网络图1.2.3配置中的注意事项(1)在将端口添加到隔离组之前，请确保端口的链路模式为桥接，即端口工作在第2层模式。(2)同一端口不能同时配置为服务环回组成员端口和隔离组端口，即服务环回组成员端口不能加入隔离组。1.2.4配置步骤#创建VLAN 100，并将千兆以太网1/0/1、千兆以太网1/0/2、千兆以太网1/0/3和千兆以太网1/0/4端口添加到VLAN 100。系统视图SwitchA vlan 100SwitchA-vlan100端口千兆以太网1/0/1至千兆以太网1/0/4SwitchA-vlan100退出#

3、将端口千兆以太网1/0/1和千兆以太网1/0/2添加到隔离组。SwitchA接口千兆以太网1/0/1交换机-千兆以太网1/0/1端口隔离使能切换-千兆以太网1/0/1退出SwitchA接口千兆以太网1/0/2交换机-千兆以太网1/0/2端口隔离使能切换-千兆以太网1/0/2退出1.2.5验证配置#使用显示端口隔离组命令显示交换机A上隔离组中的信息.显示信息的描述见表2。显示端口隔离组端口隔离组信息：上行端口支持：否组号： 1组成员：千兆以太网1/0/1千兆以太网1/0/2表2显示端口隔离组命令显示信息描述表领域形容端口隔离组信息显示有关端口隔离组的信息上行端口支持您支持配置上行端口吗组标识隔离

4、组号小组成员隔离组中包含的普通端口(非上游端口)1.2.6配置文件S5500-SI系列交换机不支持端口链接模式桥接命令。#vlan 100#接口GigabitEthernet1/0/1端口链接模式桥端口接入vlan 100端口隔离使能#接口GigabitEthernet1/0/2端口链接模式桥端口接入vlan 100端口隔离使能#接口GigabitEthernet1/0/3端口链接模式桥端口接入vlan 100#接口GigabitEthernet1/0/4端口链接模式桥端口接入vlan 100#1.3隔离端口之间定时相互访问的典型配置示例1.3.1适用的产品和版本表3配置适用产品和软件版本关系

5、制品软件版本S10500系列以太网交换机1120系列、1130系列、1200系列S5800S5820X系列以太网交换机版本1808S5830系列以太网交换机版本1115，版本1118S5500-EIS5500-SI系列以太网交换机版本22201.3.2联网要求如图2所示，一个公司的R&D部门、市场部和行政部连接到交换机B上的端口，使用端口隔离功能时，需要同时实现以下要求：各部门与外部网络进行互访。在每天8:00 12:00期间，允许主机A访问管理部门的服务器，其他的IP报文拒绝通过。在每天14:00 16:00期间，主机B被允许访问管理部门的服务器，其他的IP报文被拒绝通过。在其他时间段，各部

6、门不能互相访问。图2隔离端口间定时相互访问的网络图1.3.3配置理念要实现隔离端口间的互访，需要在网关设备上使用本地代理ARP功能。然而，启用本地代理ARP之后，接入层设备上的隔离端口都可互访或某一知识产权地址范围内的设备可互访。因此，还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。1.3.4配置步骤1.开关B的配置#配置开关B上的端口千兆以太网1/0/1、千兆以太网1/0/2，千兆以太网1/0/3和千兆以太网1/0/4属于同一VLAN 100；并将端口千兆以太网1/0/1、千兆以太网1/0/2和千兆以太网1/0/3加入到隔离组中，以实现研发部门、市场部门和行政部门彼此之间二层报文

7、不能互通。系统视图开关vlan 100开关B-vlan100端口千兆以太网1/0/1至千兆以太网1/0/4开关B-vlan100退出开关B接口千兆以太网1/0/1交换机b-千兆以太网1/0/1端口隔离使能开关B-GigabitEthernet1/0/1退出开关B接口千兆以太网1/0/2交换机b-千兆以太网1/0/2端口隔离使能开关b-千兆以太网1/0/2退出开关B接口千兆以太网1/0/3交换机b-千兆以太网1/0/3端口隔离使能开关B-GigabitEthernet1/0/3退出2.开关A的配置#在开关A上配置虚拟局域网接口100的知识产权地址为10.1.1.33，掩码为24位。系统视图Swi

8、tchA vlan 100开关A-vlan100端口千兆以太网1/0/4开关A-vlan100接口VLAN-接口100SwitchA-Vlan-interface100 ip地址10.1.1.33 255.255.255.0#在开关A上配置本地代理ARP，实现部门之间的三层互通。开关a-Vlan-接口100本地-代理-arp使能开关a-Vlan-接口100退出#在开关A上定义两个工作时间段，分别是trname_1，周期时间范围为每天的8:00 12:00；trname_2，周期时间范围为每天的14:0016:00。开关A时间范围trname_1 8:00至12:00(每天)开关A时间范围trn

9、ame_2 14:00至16:00(每天)#在开关A上定义到行政部门服务器的三条访问规则。允许主持人甲访问行政部门的服务器。SwitchA acl编号3000开关A-acl-adv-3000规则允许ip源10.1.1.1 0目标10.1.1.24 0时间范围trname_1允许主持人乙访问行政部门的服务器。开关A-acl-adv-3000规则允许ip源10.1.1.16 0目标10.1.1.24 0时间范围trname_2禁止各部门间的互访。交换机A-acl-adv-3000规则拒绝ip源10 . 1 . 1 . 0 0 . 0 . 31目标10 . 1 . 1 . 0 0 . 0 . 31开

10、关A-acl-adv-3000退出#在端口千兆以太网1/0/4上应用高级IPv4访问控制列表，以对该端口收到的IPv4报文进行过滤。开关A接口千兆以太网1/0/4交换机-千兆以太网1/0/4数据包过滤器3000入站切换-千兆以太网1/0/4退出1.3.5验证配置#使用显示端口隔离组命令显示开关B上隔离组的信息。开关显示端口隔离组端口隔离组信息：上行端口支持：否组号： 1组成员：千兆以太网1/0/1千兆以太网1/0/2千兆以太网1/0/3#显示开关A上的配置信息在虚拟局域网接口视图下通过显示此命令显示VLAN 100的信息。开关a-Vlan-接口100显示此信息#接口VLAN-接口100ip地址

11、10.1.1.33 255.255.255.0本地代理arp使能#返回通过显示acl 3000命令显示开关A上的访问规则。开关显示acl 3000高级ACL 3000，命名为-无-，3个规则，美国公民自由协会步骤为5规则0允许ip源10.1.1.1 0目标10.1.1.24 0时间范围trname_1规则5允许ip源10.1.1.16 0目标10.1.1.24 0时间范围trname_2规则10拒绝ip源10 . 1 . 1 . 0 0 . 0 . 31目标10 . 1 . 1 . 0 0 . 0 . 311.3.6配置文件S5500-SI系列交换机不支持端口链接模式桥命令。开关b:#vlan 100#接口千兆以太网1/0/1端口链接模式桥端口接入vlan