端口隔离典型配置举例.doc

上传人：精***

文档编号：3558557

上传时间：2024-07-09

格式：DOC

页数：9

大小：106.50KB

《端口隔离典型配置举例.doc》由会员分享，可在线阅读，更多相关《端口隔离典型配置举例.doc（9页珍藏版）》请在咨信网上搜索。

1、1 端口隔离典型配置举例1.1 简介本章介绍了采用端口隔离特性，实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间数据的隔离。1.2 端口隔离限制设备间互访典型配置举例1.2.1 适用产品和版本表1 配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release 1120系列，Release 1130系列，Release 1200系列S5800&S5820X系列以太网交换机Release 1808S5830系列以太网交换机Release 1115，Release 1118S5500-EI&S5500-SI系列以太网交换机Releas

2、e 22201.2.2 组网需求如图1所示，Host A和Host B属同一VLAN，使用端口隔离功能实现Host A和Host B不能互访，但都可以与服务器Server及外部网络进行通信。图1 端口隔离典型配置组网图1.2.3 配置注意事项(1)将端口加入隔离组前，请先确保端口的链路模式为bridge，即端口工作在二层模式下。(2)同一端口不能同时配置为业务环回组成员端口和隔离组端口，即业务环回组成员端口不能加入隔离组。1.2.4 配置步骤# 创建VLAN 100 ，并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/

3、0/3、GigabitEthernet1/0/4全部加入VLAN 100。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/1 to gigabitethernet 1/0/4SwitchA-vlan100 quit# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。SwitchA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-isolate enableSwitchA-G

4、igabitEthernet1/0/1 quitSwitchA interface gigabitethernet 1/0/2SwitchA-GigabitEthernet1/0/2 port-isolate enableSwitchA-GigabitEthernet1/0/2 quit1.2.5 验证配置# 使用display port-isolate group命令显示Switch A上隔离组中的信息。显示信息的描述请参见表2。 display port-isolate groupPort-isolate group information:Uplink port support: NOG

5、roup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2表2 display port-isolate group命令显示信息描述表字段描述Port-isolate group information显示端口隔离组的信息Uplink port support是否支持配置上行端口Group ID隔离组编号Group members隔离组中包含的普通端口（非上行端口）1.2.6 配置文件S5500-SI系列交换机不支持port link-mode bridge命令。#vlan 100#interface GigabitEth

6、ernet1/0/1port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100#interface GigabitEthernet1/0/4port link-mode bridgeport access vla

7、n 100#1.3 隔离端口间的定时互访典型配置举例1.3.1 适用产品和版本表3 配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release 1120系列，Release 1130系列，Release 1200系列S5800&S5820X系列以太网交换机Release 1808S5830系列以太网交换机Release 1115，Release 1118S5500-EI&S5500-SI系列以太网交换机Release 22201.3.2 组网需求如图2所示，某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口相连。要求在使用端口隔离功能的情况下同时实现

8、以下需求：各部门与外界网络互访。在每天8:0012:00的时间段内，允许Host A访问行政部门的服务器，拒绝其它的IP报文通过。在每天14:0016:00的时间段内，允许Host B访问行政部门的服务器，拒绝其它的IP报文通过。在其他时间段，各部门之间不能互访。图2 隔离端口间的定时互访组网图1.3.3 配置思路要实现隔离端口间的互访，需要在网关设备上使用本地代理ARP功能。然而，启用本地代理ARP之后，接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此，还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。1.3.4 配置步骤1. Switch B的配置# 配置Sw

9、itch B上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、 GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100；并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔离组中，以实现研发部门、市场部门和行政部门彼此之间二层报文不能互通。 system-viewSwitchB vlan 100SwitchB-vlan100 port gigabitethernet 1/0/1 to gigabitethern

10、et 1/0/4SwitchB-vlan100 quitSwitchB interface gigabitethernet 1/0/1SwitchB-GigabitEthernet1/0/1 port-isolate enableSwitchB-GigabitEthernet1/0/1 quitSwitchB interface gigabitethernet 1/0/2SwitchB-GigabitEthernet1/0/2 port-isolate enableSwitchB-GigabitEthernet1/0/2 quitSwitchB interface gigabitetherne

11、t 1/0/3SwitchB-GigabitEthernet1/0/3 port-isolate enableSwitchB-GigabitEthernet1/0/3 quit2. Switch A的配置# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33，掩码为24位。 system-viewSwitchA vlan 100SwitchA-vlan100 port gigabitethernet 1/0/4SwitchA-vlan100 interface vlan-interface 100SwitchA-Vlan-interface100 ip address 1

12、0.1.1.33 255.255.255.0# 在Switch A上配置本地代理ARP，实现部门之间的三层互通。SwitchA-Vlan-interface100 local-proxy-arp enableSwitchA-Vlan-interface100 quit# 在Switch A上定义两个工作时间段，分别是trname_1，周期时间范围为每天的8:0012:00； trname_2，周期时间范围为每天的14:0016:00。SwitchA time-range trname_1 8:00 to 12:00 dailySwitchA time-range trname_2 14:00

13、to 16:00 daily# 在Switch A上定义到行政部门服务器的三条访问规则。允许Host A访问行政部门的服务器。SwitchA acl number 3000SwitchA-acl-adv-3000 rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1允许Host B访问行政部门的服务器。SwitchA-acl-adv-3000 rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2

14、禁止各部门间的互访。SwitchA-acl-adv-3000 rule deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31SwitchA-acl-adv-3000 quit# 在端口GigabitEthernet1/0/4上应用高级IPv4 ACL，以对该端口收到的IPv4报文进行过滤。SwitchA interface gigabitethernet 1/0/4SwitchA-GigabitEthernet1/0/4 packet-filter 3000 inboundSwitchA-GigabitEthernet1/

15、0/4 quit1.3.5 验证配置# 使用display port-isolate group命令显示Switch B上隔离组的信息。SwitchB display port-isolate groupPort-isolate group information:Uplink port support: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3# 显示Switch A上的配置信息在VLAN接口视图下通过displaythis命令显示VLAN 100的信息。

16、SwitchA-Vlan-interface100display this#interface Vlan-interface100ip address 10.1.1.33 255.255.255.0local-proxy-arp enable#return通过display acl 3000命令显示Switch A上的访问规则。SwitchAdisplay acl 3000Advanced ACL 3000, named -none-, 3 rules,ACLs step is 5rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24

17、0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.311.3.6 配置文件S5500-SI系列交换机不支持port link-mode bridge命令。Switch B：#vlan 100#interface GigabitEthernet1/0/1port link-mode bridgeport acces

18、s vlan 100port-isolate enable#interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 100port-isolate enable#interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 100#Switch A：#time-r

19、ange trname_1_8:00 to 12:00 dailytime-range trname_2 14:00 to 16:00 daily#acl number 3000rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 time-range trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 time-range trname_2rule 10 deny ip source 10.1.1.0 0.0.0.31 destination 10.1.1.0 0.0.0.31#vlan 100#interface Vlan-interface 100ip address 10.1.1.33 255.255.255.0local-proxy-arp enable#interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 100packet-filter 3000 inbound#

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档保存到电脑，查找使用更方便

6 金币 0人已下载

申诉本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请申请举报、认领或删除 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 端口隔离典型配置举例

咨信网温馨提示：
1、咨信平台为文档C2C交易模式，即用户上传的文档直接被用户下载，收益归上传人（含作者）所有；本站仅是提供信息存储空间和展示预览，仅对用户上传内容的表现方式做保护处理，对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿，我们不确定上传用户享有完全著作权，根据《信息网络传播权保护条例》，如果侵犯了您的版权、权益或隐私，请联系我们，核实后会尽快下架及时删除，并可随时和客服了解处理情况，尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确)，网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据，个别因单元格分列造成显示页码不一将协商解决，平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺，下载前须认真查看，确认无误后再购买，务必慎重购买；若有违法违纪将进行移交司法处理，若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传，付费前请自行鉴别，如您付费，意味着您已接受本站规则且自行承担风险，本站不进行额外附加服务，虚拟产品一经售出概不退款（未进行购买下载可退充值款），文档一经付费（服务费）、不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印，是因预览和防盗链等技术需要对页面进行转换压缩成图而已，我们并不对上传的文档进行任何编辑或修改，文档下载后都不会有水印标识（原文档上传前个别存留的除外），下载后原文更清晰；试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓；PPT和DOC文档可被视为“模板”，允许上传人保留章节、目录结构的情况下删减部份的内容；PDF文档不管是原文档转换或图片扫描而得，本站不作要求视为允许，下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用；网站提供的党政主题相关内容(国旗、国徽、党徽－－等)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
6、文档遇到问题，请及时私信或留言给本站上传会员【精***】，需本站解决可联系【微信客服】、【 QQ客服】，若有其他问题请点击或扫码反馈【服务填表】；文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“【版权申诉】”（推荐），意见反馈和侵权处理邮箱：1219186828@qq.com；也可以拔打客服电话：4008-655-100；投诉/维权电话：4009-655-100。

关于本文

本文标题：端口隔离典型配置举例.doc
链接地址：https://www.zixin.com.cn/doc/3558557.html

精***

内容提供者

实名认证

查看上传人更多文档

部分上传会员的收益排行 01、路***（￥15400+），
02、曲****（￥15300+），
03、wei****016（￥13200+）,
04、大***流（￥12600+），
05、Fis****915（￥4200+），
06、h****i（￥4100+），
07、Q**（￥3400+），
08、自******点（￥2400+），
09、h*****x（￥1400+），
10、c****e（￥1100+）,
11、be*****ha（￥800+），
12、13********8（￥800+）。

相似文档

自信AI助手