端口隔离典型配置举例

1、1 端口隔离典型配置举例1.1 简介本章介绍了采用端口隔离特性，实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间数据的隔离。1.2 端口隔离限制设备间互访典型配置举例1.2.1 适用产品和版本表1 配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release 1120系列，Release 1130系列，Release 1200系列S5800&S5820X系列以太网交换机Release 1808S5830系列以太网交换机Release 1115，Release 1118S5500-EI&S5500-SI系列以太网交换机Releas

2、e 22201.2.2 组网需求如图1所示，Host A和Host B属同一VLAN，使用端口隔离功能实现Host A和Host B不能互访，但都可以与服务器Server及外部网络进行通信。图1 端口隔离典型配置组网图1.2.3 配置注意事项(1)将端口加入隔离组前，请先确保端口的链路模式为bridge，即端口工作在二层模式下。(2)同一端口不能同时配置为业务环回组成员端口和隔离组端口，即业务环回组成员端口不能加入隔离组。1.2.4 配置步骤# 创建VLAN 100 ，并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/

3、0/3、GigabitEthernet1/0/4全部加入VLAN 100。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4SwitchA-vlan100 quit# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。SwitchA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-isolate enableSwitchA-G

4、igabitEthernet1/0/1 quitSwitchA interface gigabitethernet 1/0/2SwitchA-GigabitEthernet1/0/2 port-isolate enableSwitchA-GigabitEthernet1/0/2 quit1.2.5 验证配置# 使用display port-isolate group命令显示Switch A上隔离组中的信息。显示信息的描述请参见表2。 display port-isolate groupPort-isolate group information:Uplink port support: NOG

5、roup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2表2 display port-isolate group命令显示信息描述表字段描述Port-isolate group information显示端口隔离组的信息Uplink port support是否支持配置上行端口Group ID隔离组编号Group members隔离组中包含的普通端口（非上行端口）1.2.6 配置文件S5500-SI系列交换机不支持port link-mode bridge命令。#vlan 100#interface GigabitEth

6、ernet1/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100#interface GigabitEthernet1/0/4port link-mode bridgeport access vla

7、n 100#1.3 隔离端口间的定时互访典型配置举例1.3.1 适用产品和版本表3 配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release 1120系列，Release 1130系列，Release 1200系列S5800&S5820X系列以太网交换机Release 1808S5830系列以太网交换机Release 1115，Release 1118S5500-EI&S5500-SI系列以太网交换机Release 22201.3.2 组网需求如图2所示，某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口相连。要求在使用端口隔离功能的情况下同时实现

8、以下需求：各部门与外界网络互访。在每天8:0012:00的时间段内，允许Host A访问行政部门的服务器，拒绝其它的IP报文通过。在每天14:0016:00的时间段内，允许Host B访问行政部门的服务器，拒绝其它的IP报文通过。在其他时间段，各部门之间不能互访。图2 隔离端口间的定时互访组网图1.3.3 配置思路要实现隔离端口间的互访，需要在网关设备上使用本地代理ARP功能。然而，启用本地代理ARP之后，接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此，还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。1.3.4 配置步骤1. Switch B的配置# 配置Sw

9、itch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100；并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔离组中，以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。 system-viewSwitchB vlan 100SwitchB-vlan100 port gigabitethernet 1/0/1 to gigabitethern

10、et 1/0/4SwitchB-vlan100 quitSwitchB interface gigabitethernet 1/0/1SwitchB-GigabitEthernet1/0/1 port-isolate enableSwitchB-GigabitEthernet1/0/1 quitSwitchB interface gigabitethernet 1/0/2SwitchB-GigabitEthernet1/0/2 port-isolate enableSwitchB-GigabitEthernet1/0/2 quitSwitchB interface gigabitetherne

11、t 1/0/3SwitchB-GigabitEthernet1/0/3 port-isolate enableSwitchB-GigabitEthernet1/0/3 quit2. Switch A的配置# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33，掩码为24位。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/4SwitchA-vlan100 interface vlan-interface 100SwitchA-Vlan-interface100 ip address 1

12、0.1.1.33 255.255.255.0# 在Switch A上配置本地代理ARP，实现部门之间的三层互通。SwitchA-Vlan-interface100 local-proxy-arp enableSwitchA-Vlan-interface100 quit# 在Switch A上定义两个工作时间段，分别是trname_1，周期时间范围为每天的8:0012:00； trname_2，周期时间范围为每天的14:0016:00。SwitchA time-range trname_1 8:00 to 12:00 dailySwitchA time-range trname_2 14:00

13、to 16:00 daily# 在Switch A上定义到行政部门服务器的三条访问规则。允许Host A访问行政部门的服务器。SwitchA acl number 3000SwitchA-acl-adv-3000 rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1允许Host B访问行政部门的服务器。SwitchA-acl-adv-3000 rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

14、禁止各部门间的互访。SwitchA-acl-adv-3000 rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31SwitchA-acl-adv-3000 quit# 在端口GigabitEthernet1/0/4上应用高级IPv4 ACL，以对该端口收到的IPv4报文进行过滤。SwitchA interface gigabitethernet 1/0/4SwitchA-GigabitEthernet1/0/4 packet-filter 3000 inboundSwitchA-GigabitEthernet1/

15、0/4 quit1.3.5 验证配置# 使用display port-isolate group命令显示Switch B上隔离组的信息。SwitchB display port-isolate groupPort-isolate group information:Uplink port support: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3# 显示Switch A上的配置信息在VLAN接口视图下通过displaythis命令显示VLAN 100的信息。

16、SwitchA-Vlan-interface100display this#interface Vlan-interface100ip address 10.1.1.33 255.255.255.0local-proxy-arp enable#return通过display acl 3000命令显示Switch A上的访问规则。SwitchAdisplay acl 3000Advanced ACL 3000, named -none-, 3 rules,ACLs step is 5rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24

17、0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.311.3.6 配置文件S5500-SI系列交换机不支持port link-mode bridge命令。Switch B：#vlan 100#interface GigabitEthernet1/0/1port link-mode bridgeport acces

18、s vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 100#Switch A：#time-range trname_1_8:00 to 12:00 dailytime-range trname_2 14:00 to 16:00 daily#acl number 3000rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination