华为网管交换机配置端口隔离

端口隔离可实现同一VLAN内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的离。只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离的方法和应用场景如图所示。PC1、PC2和PC3同属于VLAN10,将PC1与PC2对应的端口GE0/0/1和GE0/0/2加入端口隔离组后,PC1与PC2在VLAN10内不能互相访问,但是PC3与PC1之间可以互相访问,PC3与PC2之间也可以互相访问。
端口隔离示例

网络中可能存在如下情况时,还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,可能会向其他主机发送大量的广播报文。
可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
如图所示,假设PC4存在安全隐患,会向其他主机发送大量广播报文,可以仅在
PC4对应设备接口GE0/0/4上配置与GE0/0/5、GE0/0/6进行单向隔离,这样PC4发送的广播报文不能到达PC5、PC6,但从PC5、PC6发送的广播报文可以到达PC4。

操作步骤
● 配置端口隔离组
a. 执行命令system-view,进入系统视图。
b. (可选)执行命令port-isolate mode { l2 | all },配置端口隔离模式。
缺省情况下,端口隔离模式为二层隔离三层互通。
c. 执行命令interface interface-type interface-number,进入以太网接口视图。
d. 执行命令port-isolate enable [ group group-id ],使能端口隔离功能。
缺省情况下,未使能端口隔离功能。

注:
端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。如果不指定group-id参数时,默认加入的端口隔离组为1。

● 配置端口单向隔离
a. 执行命令system-view,进入系统视图。
b. (可选)执行命令port-isolate mode { l2 | all },配置端口隔离模式。
缺省情况下,端口隔离模式为二层隔离三层互通。
c. 执行命令interface interface-type interface-number,进入以太网接口视图。
d. 执行命令am isolate { interface-type interface-number }&<1-8> ,配置端口单向隔离。
缺省情况下,未配置端口单向隔离。

注:
在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。

检查配置结果
任意视图下执行命令display port-isolate group { group-id | all },查看接口隔离组
的配置。

后续处理
当您完成设配置端口隔离功能后,后续可以执行下列任务:
● 当您为了减少维护量和降低操作的复杂度,可以在系统视图下执行clear
cÑÊfiªñà†ì²ÑÊ port-isolate命令一键式清除设备上所有的端口隔离配置。
● 当您希望某个VLAN的端口隔离不生效,VLAN内的用户依旧可以互相访问,可以
在系统视图下执行port-isolate exclude vlan命令配置端口隔离功能生效时排除
VLAN。

配置端口隔离示例
组网需求
某企业研发办公室员工分为本公司员工、A合作方公司员工和B合作方公司员工。如图所示,PC1和PC2分别代表A、B合作方员工,PC3代表本公司研发员工,公司希望
在节省VLAN资源的前提下,实现本公司员工和A、B两个合作方公司之间可以相互通信,但是A、B两个合作方公司员工之间无法通信。

配置思路
采用如下的思路配置端口隔离:
1. 配置接口加入VLAN。
2. 设备缺省端口隔离为二层隔离三层互通,只需要将接口加入到隔离组中,就可以
实现隔离组内接口之间二层数据的隔离。

操作步骤
步骤1 配置端口隔离功能

# 配置GE0/0/1的端口隔离功能。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] port-isolate enable group 3
[Switch-GigabitEthernet0/0/1] quit

# 配置GE0/0/2的端口隔离功能。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] port-isolate enable group 3
[Switch-GigabitEthernet0/0/2] quit

# 配置GE0/0/3加入VLAN10。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit

步骤2 验证配置结果
# PC1和PC2数据报文不能互通。
# PC1和PC3数据报文可以互通。
# PC2和PC3数据报文可以互通。

 

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008