端口隔离典型配置举例

1、1端口隔离典型配置举例1.1简介本章介绍了采用端口隔离特性，实现同一 vlan内端口之间的隔离。用户只需要将 端口加入到隔离组屮，就可以实现隔离组内端口z间数据的隔离。1.2端口隔离限制设备间互访典型配置举例1.2.1适用产品和版本表1配置适用的产品与软件版本关系产品软件版本s10500系列以太网交换机release 1120 系列，release 1130 系列，release 1200 系列s5800&s5820x系列以太网交换 机release 1808s5830系列以太网交换机release 1115, release 1118s5500-ei&s5500-si 系列以

2、太网 交换机release 22201.2.2组网需求如图1所示,host a和host b属同一 vlan,使用端口隔离功能实现host a和hostb不能互访，但都可以与服务器server及外部网络进行通信。图1端口隔离典型配置组网图vlan 100ge 14host ahost bisolation group1.2.3配置注意事项(1) 将端口加入隔离组前，请先确保端口的链路模式为bridge,即端口工作在二层 模式下。(2) 同一端口不能同时配置为业务环回组成员端口和隔离组端口，即业务环回组成 员端口不能加入隔离组。1.2.4配置步骤# 创建 vlan 100 ,并将端口 gigab

3、itethernet1/0/1 > gigabitethernet1/0/2> gigabitethemet1/0/3、gigabitethernet1/0/4 全部加入 vlan 100。<switcha> system-viewswitcha vlan 100switcha-vlanloo port gigabitethernet 1/0/1 to gigabitethernet 1/0/4switcha-vlanloo quit# 将端口 gigabitethernet1/0/1 gigabitethernetl/0/2 加入隔离组。switcha interfa

4、ce gigabitethernet 1/0/1switcha-gigabitethernet1/0/1 port-isolate enable switcha-gigabitethernetl/0/1 quitswitcha interface gigabitethernet 1/0/2switcha-gigabitethernet1/0/2 port一isolate enableswitcha-gigabitethernet1/0/2 quit1.2.5验证配置#使用display port-isolate group命令显示switch a上隔离组中的信息。显示信 息的描述请参见表2。&

5、lt;switcha display port-isolate groupport-isolate group information:uplink port support: nogroup id: 1group members:gigabitethernetl/0/1gigabitethernetl/0/2表2 display port-isolate group命令显示信息描述表字段描述port-isolate group information显示端口隔离组的信息uplink port support是否支持配置上行端口group id隔离组编号group members隔离组中包含的

6、普通端口(非上行端匚1.2.6配置文件誉说明s5500-si系列交换机不支持port link-mode bridge命令。#vlan 100#interface gigabitetherne/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface gigabitethernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface gigabitethernetl/0/3port link-mode bri

7、dgeport access vlan 100#interface gigabitethernetl/0/4port link-mode bridgeport access vlan 100#1.3隔离端口间的定时互访典型配置举例1.3.1适用产品和版本表3配置适用的产品与软件版本关系产品软件版木s10500系列以太网交换机release 1120 系列，release 1130 系列，release 1200 系列s5800&s5820x系列以太网交换 机release 1808s5830系列以太网交换机release 1115, release 1118s5500-ei&s

8、5500-si 系列以太网 交换机release 22201.3.2组网需求如图2所示,某公司内部的研发部门、市场部门和行政部门分别与switch b ±的端 口相连。要求在使用端口隔离功能的情况下同时实现以下需求： 各部门与外界网络互访。 在每天8:0012:00的时间段内，允许host a访问行政部门的服务器，拒绝其它的ip报文通过。 在每天14:0016:00的时间段内，允许host b访问行政部门的服务器，拒绝其它的ip报文通过。 在其他时间段，各部门之间不能互访。1ii图2隔离端口i'可的定时互访组网图swi，ch 人ge 104vlan 100 vldn-int

9、10010.1.1.33/24isolation group釧发部门巾场前厅政斛门10.1.1.1-10.1.1j510.1.1.16-10.1.12310.1.1-24-10.1.1.321.3.3配置思路要实现隔离端口间的互访，需要在网关设备上使用本地代理arp功能。然而，启用 本地代理arp之后，接入层设备上的隔离端口都可互访或某一 ip地址范围内的设备 可互访。因此，还需要结合网关设备的报文过滤功能以实现隔离端口i'可的定时访问。1.3.4配置步骤1. switch b的配置# 配置 switch b 上的端口 gigabitethernet1/0/1 gigabitethem

10、et1/0/2、 gigabitethernet1/0/3 和 gigabitethernet1/0/4 属于同一 vlan 100；并将端口gigabitethernet1/0/1 > gigabitethernet1/0/2 和 gigabitethernet1/0/3 加入到隔离组 中，以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。<switchb> system-viewswitchb vlan 100switchb-vlanloo port gigabitethernet 1/0/1 to gigabitethernet 1/0/4switchb-vl

11、anloo quitswitchb interface gigabitethernet 1/0/1switchb-gigabitethernet1/0/1 port-isolate enableswitchb-gigabitethernet1/0/1 quitswitchb interface gigabitethernet 1/0/2switchb-gigabitethernet1/0/2 port-iso丄ate enableswitchb-gigabitethernetl/0/2 quitswitchb interface gigabitethernet 1/0/3 switchb-gi

12、gabitethernet1/0/3 port-isolate enable switchb-gigabitethernet1/0/3 quit2. switch a的配置#在switch a上配置vlan接口 100的ip地址为10.1.1.33,掩码为24位。<switcha> system-viewswitcha vlan 100switcha-vlanloo port gigabitethernet 1/0/4switcha-vlanloo interface vlan-interface 100switcha-vlan-interfaceloo ip address 10

13、.1.1.33 255.255.255.0#在switch a上配置本地代理arp,实现部门之间的三层互通。switcha-vlan-interfaceloo local-proxy-arp enableswitcha-vlan-interfaceloo quit#在switch a上定义两个工作时间段，分别是trname_1,周期时间范围为每天的 8:0012:00； trname_2,周期时间范围为每天的14:0016:00。switcha time-range trname_l 8:00 to 12:00 daily switcha time-range trname_2 14:00 t

14、o 16:00 daily#在switch a上定义到行政部门服务器的三条访问规则。 允许host a访问行政部门的服务器。switcha acl number 3000switcha-acl-adv-3000 rule permit ip source 10.11.1 0 destination 10.11.24 0 time-range trname_l 允许host b访问行政部门的服务器。switcha-acl-adv-3000 rule permit ip source0 destination 10.1.1.24 0 time-range trname_2 禁止各部门间的互访。sw

15、itcha-acl-adv-3000 rule deny ip source 10.1.1.00.0.0.31 destination 10.1.1.0 0.0.0.31switcha-acl-adv-3000 quit#在端口 gigabitethernet1/0/4上应用高级ipv4 acl,以对该端口收到的ipv4报文 进行过滤。switcha interface gigabitethernet 1/0/4switcha-gigabitethernetl/o/4 packet-filter 3000 inboundswitcha-gigabitethernetl/o/4 quit1.3.

16、5验证配置#使用display port-isolate group命令显示switch b上隔离组的信息。switchb display port-isolate groupport一isolate group information:uplink port support: nogroup id: 1group members:gigabitethernetl/0/1gigabitethernetl/0/2 gigabitethernetl/0/3#显示switch a上的配置信息 在vlan接口视图下通过display this命令显示vlan 100的信息。switcha-vlan-i

17、nterfaceloodisplay this#interface vian-interfacelooip address 10.1133 255.255.2550local-proxy-arp enable#return 通过display acl 3000命令显示switch a上的访问规则。switchadisplay acl 3000advanced acl 3000, named -none-, 3 rules,acl * s step is 5rule 0 permit ip source 10 1.11 0 destination 10 11 24 0 time-range tr

18、name_lrule 5 perm it ip source 10 1 1.16 0 destination 10 1 1 24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.311.3.6配置文件茗说明s5500-si系列交换机不支持port link-mode bridge命令。#vlan 100#interface gigabitethernet1/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface gigabitethernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface gigabitethernet1/0/3port link-mode bridgeport access vlan