端口隔离典型配置举例（2021年整理）

资源描述

《端口隔离典型配置举例（2021年整理）》由会员分享，可在线阅读，更多相关《端口隔离典型配置举例（2021年整理）（8页珍藏版）》请在金锄头文库上搜索。

1、1端口隔离典型配置举例,简介本章介绍了采用端口隔离特性，实现同一 VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间数据的隔离。端口隔离限制设备间互访典型配置举例适用产品和版本表 1 配置适用的产品与软件版本关系,1.2.2组网需求如图 1 所示，Host A 和Host B 属同一 VLAN，使用端口隔离功能实现 Host A 和 Host B 不能互访，但都可以与服务器 Server 及外部网络进行通信。图 1 端口隔离典型配置组网图,1,2,配置注意事项将端口加入隔离组前，请先确保端口的链路模式为 bridge，即端口工作在二层模式下

2、。同一端口不能同时配置为业务环回组成员端口和隔离组端口，即业务环回组成员端口不能加入隔离组。配置步骤 # 创建 VLAN 100 ，并将端口 GigabitEthernet1/0/1 、GigabitEthernet1/0/2 、 GigabitEthernet1/0/3、GigabitEthernet1/0/4 全部加入 VLAN 100。 system-view SwitchA vlan 100 SwitchA-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4 SwitchA-vlan100 quit # 将端口

3、 GigabitEthernet1/0/1、GigabitEthernet1/0/2 加入隔离组。 SwitchA interface gigabitethernet 1/0/1 SwitchA-GigabitEthernet1/0/1 port-isolate enable SwitchA-GigabitEthernet1/0/1 quit SwitchA interface gigabitethernet 1/0/2 SwitchA-GigabitEthernet1/0/2 port-isolate enable SwitchA-GigabitEthernet1/0/2 quit 验证配置

4、 # 使用 display port-isolate group 命令显示 Switch A 上隔离组中的信息。显示信息的描述请参见表 2。 display port-isolate group Port-isolate group information: Uplink port support: NO Group ID: 1 Group members: GigabitEthernet1/0/1GigabitEthernet1/0/2 表 2 display port-isolate group 命令显示信息描述表,1.2.6配置文件,S5500-SI 系列交换机不支持 port lin

5、k-mode bridge 命令。 # vlan 100 # interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 100 port-isolate enable # interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 100 port-isolate enable # interface GigabitEthernet1/0/3 port link-mode bridge port access vlan 100 # i

6、nterface GigabitEthernet1/0/4 port link-mode bridge port access vlan 100 # 隔离端口间的定时互访典型配置举例适用产品和版本表 3 配置适用的产品与软件版本关系,3,组网需求如图 2 所示，某公司内部的研发部门、市场部门和行政部门分别与 Switch B 上的端口相连。要求在使用端口隔离功能的情况下同时实现以下需求：各部门与外界网络互访。在每天 8:0012:00 的时间段内，允许 Host A 访问行政部门的服务器，拒绝其它的 IP 报文通过。在每天 14:0016:00 的时间段内，允许Host B 访

7、问行政部门的服务器，拒绝其它的 IP 报文通过。在其他时间段，各部门之间不能互访。图 2 隔离端口间的定时互访组网图,配置思路要实现隔离端口间的互访，需要在网关设备上使用本地代理 ARP 功能。然而，启用本地代理 ARP 之后，接入层设备上的隔离端口都可互访或某一 IP 地址范围内的设备可互访。因此，还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。配置步骤 1. Switch B 的配置 # 配置 Switch B 上的端口 GigabitEthernet1/0/1 、 GigabitEthernet1/0/2 、 GigabitEthernet1/0/3 和 G

8、igabitEthernet1/0/4 属于同一 VLAN 100 ；并将端口 GigabitEthernet1/0/1、 GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 加入到隔离组中，以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。 system-view SwitchB vlan 100,4,5,SwitchB-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4 SwitchB-vlan100 quit SwitchB interface gigabitetherne

9、t 1/0/1 SwitchB-GigabitEthernet1/0/1 port-isolate enable SwitchB-GigabitEthernet1/0/1 quit SwitchB interface gigabitethernet 1/0/2 SwitchB-GigabitEthernet1/0/2 port-isolate enable SwitchB-GigabitEthernet1/0/2 quit SwitchB interface gigabitethernet 1/0/3 SwitchB-GigabitEthernet1/0/3 port-isolate enab

10、le SwitchB-GigabitEthernet1/0/3 quit Switch A 的配置 # 在 Switch A 上配置 VLAN 接口 100 的 IP 地址为 10.1.1.33，掩码为 24 位。 system-view SwitchA vlan 100 SwitchA-vlan100 port gigabitethernet 1/0/4 SwitchA-vlan100 interface vlan-interface 100 SwitchA-Vlan-interface100 ip address 10.1.1.33 255.255.255.0 # 在 Switch A 上

11、配置本地代理 ARP，实现部门之间的三层互通。 SwitchA-Vlan-interface100 local-proxy-arp enable SwitchA-Vlan-interface100 quit # 在 Switch A 上定义两个工作时间段，分别是 trname_1，周期时间范围为每天的 8:0012:00； trname_2，周期时间范围为每天的 14:0016:00。 SwitchA time-range trname_1 8:00 to 12:00 daily SwitchA time-range trname_2 14:00 to 16:00 daily # 在 Swit

12、ch A 上定义到行政部门服务器的三条访问规则。允许 Host A 访问行政部门的服务器。 SwitchA acl number 3000 SwitchA-acl-adv-3000 rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1 允许 Host B 访问行政部门的服务器。 SwitchA-acl-adv-3000 rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2 禁止各部门间的互访。

13、 SwitchA-acl-adv-3000 rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31,SwitchA-acl-adv-3000 quit # 在端口 GigabitEthernet1/0/4 上应用高级 IPv4 ACL，以对该端口收到的 IPv4 报文进行过滤。 SwitchA interface gigabitethernet 1/0/4 SwitchA-GigabitEthernet1/0/4 packet-filter 3000 inbound SwitchA-GigabitEthernet

14、1/0/4 quit 1.3.5验证配置 # 使用 display port-isolate group 命令显示 Switch B 上隔离组的信息。 SwitchB display port-isolate group Port-isolate group information: Uplink port support: NO Group ID: 1 Group members,GigabitEthernet1/0/2,Gi,GigabitEthernet1/0/1 gabitEthernet1/0/3 # 显示 Switch A 上的配置信息,在 VLAN 接口视图下通过 display

15、 this 命令显示VLAN 100 的信息。 SwitchA-Vlan-interface100display this # interface Vlan-interface100 ip address 10.1.1.33 255.255.255.0 local-proxy-arp enable # return 通过 display acl 3000 命令显示 Switch A 上的访问规则。 SwitchAdisplay acl 3000 Advanced ACL3000, named -none-, 3 rules, ACLs step is 5 rule 0 permit ip so

16、urce 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1 rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2 rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31 1.3.6配置文件,S5500-SI 系列交换机不支持 port link-mode bridge 命令,6,7,Switch B： # vlan 100 # interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 100 port-isolate enable # interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 100 port-isolate enable # interface Gigabit

展开阅读全文