端口隔离典型配置举例
配置适用的产品与软件版本关系
产品软件版本 S10500系列以太网交换机 :Release 1120系列,Release 1130系列,Release 1200系列
S5800&S5820X系列以太网交换机 :Release 1808
S5830系列以太网交换机: Release 1115,Release 1118
S5500-EI&S5500-SI系列以太网交换机:Release 2220
客户组网需求:Host A和Host B属同一VLAN,使用端口隔离功能实现Host A和Host B不能互访,但都可以与服务器Server及外部网络进行通信。
端口隔离典型配置组网图
配置注意事项
(1) 将端口加入隔离组前,请先确保端口的链路模式为bridge,即端口工作在二层模式下。
(2) 同一端口不能同时配置为业务环回组成员端口和隔离组端口,即业务环回组成员端口不能加入隔离组。
配置步骤
# 创建VLAN 100 ,并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4全部加入VLAN 100。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[SwitchA-vlan100] quit
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-isolate enable
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port-isolate enable
[SwitchA-GigabitEthernet1/0/2] quit
验证配置
# 使用display port-isolate group命令显示Switch A上隔离组中的信息。显示信息的描述请参见表2。
<SwitchA> display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
display port-isolate group命令显示信息描述:
Port-isolate group information
显示端口隔离组的信息
Uplink port support
是否支持配置上行端口
Group ID
隔离组编号
Group members
隔离组中包含的普通端口(非上行端口)
配置文件说明
S5500-SI系列交换机不支持port link-mode bridge命令。
#
vlan 100
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 100
port-isolate enable
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 100
#
interface GigabitEthernet1/0/4
port link-mode bridge
port access vlan 100
#
