华为交换机端口隔离的配置
3000系列:一 组网需求:
1.PC1、PC2、PC3属于同一VLAN;
2.PC1、PC2、PC3彼此隔离。
二 组网图:
http://blog.51cto.com/attachment/201011/100500390.jpg
三 配置步骤:
1.进入系统模式
system-view
2.创建(进入)VLAN10
vlan 10
3.将端口E0/1、E0/2、E0/3加入VLAN10
port ethernet 0/1 to ethernet 0/3
4.进入E0/1端口视图
interface ethernet 0/1
5.配置端口E0/1与E0/2和E0/3隔离
am isolate ethernet 0/2 to ethernet 0/3
6.进入E0/2端口视图
interface ethernet 0/2
7.配置端口E0/2和E0/3隔离
am isolate ethernet 0/3
四:配置关键点:
1.此功能只能用于隔离同一VLAN相同IP网段用户;
2.对于两个端口之间的隔离,只需要在其中一个端口下进行配置即可。
3600系列:
1.1组网需求
l小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连
l交换机通过Ethernet1/0/1端口与外部网络相连
l小区用户PC2、PC3和PC4之间不能互通
http://blog.51cto.com/attachment/201011/115146736.jpg
1.3配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
<H3C> system-view
System View: return to User View with Ctrl+Z.
interface ethernet1/0/2
port isolate
quit
interface ethernet1/0/3
port isolate
quit
interface ethernet1/0/4
port isolate
quit
# 显示隔离组中的端口信息。
<H3C> display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
9000系列:
一、组网需求:
用户端口E4/1/1、E4/1/2、E4/1/3都属于一个vlan,要求用户端口之间不能进行二层互访,但是都可以和上联端口G3/1/1互访。
http://blog.51cto.com/attachment/201011/115441218.jpg
三、配置步骤:
软件版本:S9500交换机1250之后的版本
硬件版本:S9500交换机业务单板
1)创建VLAN 100,将端口E4/1/1,E4/1/2,E4/1/3加入VLAN 100中
vlan 100
port e4/1/1 to e4/1/3
2)创建隔离组1
port-isolate group 1
3)将端口E4/1/1,E4/1/2,E4/1/3加入隔离组中
interface e4/1/1
port-isolate group 1
[]interface e4/1/2
port-isolate group 1
interface e4/1/3
port-isolate group 1
4)将端口G3/1/1配置成trunk,并允许vlan100通过,同时将其配置成隔离组1的上行端口
interface g3/1/1
port link-type trunk
port trunk permit vlan 100
port-isolate uplink-port group 1
四、配置关键点:
1)隔离组内的端口只能与上行端口进行通信,隔离组的上行端口所在的VLAN必须包括所有该隔离组内端口;
2)只有在创建隔离组后才能配置该隔离组的上行端口和该隔离组的隔离端口;
3)隔离组的隔离端口和上行端口只能配置在以太网口和RPR端口;
4)一个端口只能加入一个隔离组;
5)一个隔离组的上行端口只能有一个,可以是聚合组,但不能是静态聚合组或动态聚合组;
6)一个端口可以既是隔离端口也可以是上行端口,但不能是同一个隔离组的隔离端口和上行端口;
7)如果隔离端口是聚合组的成员,聚合组的其他端口也将加入隔离组
页:
[1]