所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-接口管理

本文档介绍了接口管理的配置,具体包括接口基础配置、以太网接口配置、逻辑接口配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置端口隔离

配置端口隔离

端口隔离可实现同一VLAN内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。

背景信息

为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。

说明:

S1720GF、S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750、S5700LI、S5720LI、S5720S-LI、S5710-X-LI、S5700S-LI、S6720LI、S6720S-LI仅支持二层隔离三层互通。

S5730-68C-SI-AC、S5730-68C-PWR-SI-AC、S5730-68C-PWR-SI、S5730S-68C-EI-AC和S5730S-68C-PWR-EI设备的子卡接口,不支持端口隔离功能。

端口隔离的方法和应用场景如图2-1所示。PC1、PC2和PC3同属于VLAN10,将PC1与PC2对应的端口GE0/0/1和GE0/0/2加入端口隔离组后,PC1与PC2在VLAN10内不能互相访问,但是PC3与PC1之间可以互相访问,PC3与PC2之间也可以互相访问。

图2-1  端口隔离示例组网图

现网中可能存在如下情况时,还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,可能会向其他主机发送大量的广播报文。用户可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。

图2-2所示,假设PC4存在安全隐患,会向其他主机发送大量广播报文,可以仅在PC4对应设备接口GE0/0/4上配置与GE0/0/5、GE0/0/6进行单向隔离,这样PC4发送的广播报文不能到达PC5、PC6,但从PC5、PC6发送的广播报文可以到达PC4。

图2-2  端口隔离示例组网图

操作步骤

  • 配置端口隔离组
    1. 执行命令system-view,进入系统视图。
    2. (可选)执行命令port-isolate mode { l2 | all },配置端口隔离模式。

      缺省情况下,端口隔离模式为二层隔离三层互通。

    3. 执行命令interface interface-type interface-number,进入以太网接口视图。
    4. 执行命令port-isolate enable [ group group-id ],使能端口隔离功能。

      缺省情况下,未使能端口隔离功能。

      端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。

      同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。如果不指定group-id参数时,默认加入的端口隔离组为1。

  • 配置端口单向隔离
    1. 执行命令system-view,进入系统视图。
    2. (可选)执行命令port-isolate mode { l2 | all },配置端口隔离模式。

      缺省情况下,端口隔离模式为二层隔离三层互通。

    3. 执行命令interface interface-type interface-number,进入以太网接口视图。
    4. 执行命令am isolate {interface-type interface-number }&<1-8> ,配置端口单向隔离。

      缺省情况下,未配置端口单向隔离。

      说明:

      在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。

      同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。

检查配置结果

任意视图下执行命令display port-isolate group { group-id | all },查看端口隔离组的配置。

后续处理

当您完成配置端口隔离功能后,后续可以执行下列任务:

  • 当您为了减少维护量和降低操作的复杂度,可以在系统视图下执行clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。

  • 当您希望某个VLAN的端口隔离不生效,VLAN内的用户依旧可以互相访问,可以在系统视图下执行port-isolate exclude vlan命令配置端口隔离功能生效时排除VLAN。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038436

浏览量:14465

下载量:1161

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页