Обзор
Для реализации изоляции 2-го уровня между интерфейсами, необходимо добавить каждый интерфейс в другую VLAN. Однако использование данного метода приводит к затратам ресурсов VLAN. Изоляция портов позволяет изолировать интерфейсы в одной и той же VLAN, и группа изоляции портов позволяет эффективно реализовать изоляцию 2-го уровня между этими интерфейсами. Изоляция портов обеспечивает безопасные и гибкие сетевые решения.
Режим изоляции порта может быть изоляцией 2-го уровня и взаимодействием 3-го уровня или изоляцией 2-го уровня и 3-го уровня.
- Для изоляции широковещательных пакетов в одной VLAN, но чтобы пользователи могли подключаться к различным интерфейсам для взаимодействия на 3 уровне, необходимо установить режим изоляции порта как изоляцию 2-го уровня и взаимодействие 3-го уровня.
- Чтобы запретить взаимодействие интерфейсов одной и той же VLAN как на 2 уровне, так и на 3 уровне, необходимо установить режим изоляции порта как изоляцию 2-го уровня и 3-го уровня.
Примечания по конфигурированию
- Этот пример применим ко всем версиям всех коммутаторов серии S.
- Не добавьте оба восходящих и нисходящих интерфейса в одну и ту же группу изоляции портов, если это не требуется. В противном случае восходящие и нисходящие интерфейсы не смогут взаимодействовать.
- Коммутаторы серии S поддерживают изоляцию 2-го уровня и взаимодействие 3-го уровня.
- Все модульные коммутаторы серии S поддерживают изоляцию на 2 и 3-го уровнях.
Коммутаторы закрытого типа серии S поддерживают изоляцию на 2 и 3-го уровнях За исключением S2700SI и S2700EI версии V100R006C05, а также S1720GFR, S1720GW, S1720GWR, S1720X, S1720GW-E, S1720GWR-E, S1720X-E, S2720EI, S2750EI, S5700LI, S5720LI, S6720LI, S6720S-LI, S5710-X-LI, S5710-C-LI, S5700SLI и S5720S-LI версии V200R001 и более поздних версий.
Требования к сети
В отдел РнД входят сотрудники компании, партнерскаякомпания A и партнерская компания B. Как показано на схеме, PC1 и PC2 используются двумя сотрудниками партнерских компаний A и B соответственно, a PC3 используется сотрудником отдела научных исследований и разработок компании.
Предъявляются следующие требования:
- Ресурсы VLAN необходимо экономить.
- Сотрудники компаний A и B не должны взаимодействовать друг с другом.
- Сотрудники компаний A и B могут взаимодействовать с сотрудниками компании.
Схема настройки
Схема настройки выглядит следующим образом:
1. Добавьте интерфейсы в VLAN.
2. Добавьте интерфейсы в группу изоляции портов для реализации изоляции 2-го уровня между этими интерфейсами. Режим изоляции порта по умолчанию – это изоляция на 2 уровне и взаимодействие на 3 уровне.
Процедура
Шаг 1 Настройте изоляцию портов.
# Настройте изоляцию портов на GE1/0/1. <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan 10 [Switch-vlan10] quit [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access //Установите тип интерфейса GE1/0/1 для доступа. [Switch-GigabitEthernet1/0/1] port default vlan 10 //Добавьте GE1/0/1 к VLAN 10. [Switch-GigabitEthernet1/0/1] port-isolate enable //По умолчанию интерфейс добавлен к группе изоляции порта 1, и режим изоляции порта является изоляцией уровня 2 и взаимодействием уровня 3. Вы можете запустить команду port-isolate mode all для установки режима изоляции портов на изоляцию уровня 2 и уровня 3. [Switch-GigabitEthernet1/0/1] quit # Настройте изоляцию портов на GE1/0/2. [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access //Установите тип интерфейса GE1/0/2 для доступа. [Switch-GigabitEthernet1/0/2] port default vlan 10 //Добавьте GE1/0/2 к VLAN 10. [Switch-GigabitEthernet1/0/2] port-isolate enable //По умолчанию интерфейс добавлен к группе изоляции порта 1, и режим изоляции порта является изоляцией уровня 2 и взаимодействием уровня 3. Вы можете запустить команду port-isolate mode all для установки режима изоляции портов на изоляцию уровня 2 и уровня 3. [Switch-GigabitEthernet1/0/2] quit # Добавьте GE1/0/3 к VLAN 10. [Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access //Установите тип интерфейса GE1/0/3 для доступа. [Switch-GigabitEthernet1/0/3] port default vlan 10 //Добавьте GE1/0/3 к VLAN 10. [Switch-GigabitEthernet1/0/3] quit
Шаг 2 Проверьте конфигурацию.
# PC1 и PC2 не могут взаимодействовать друг с другом.
# PC1 и PC3 могут взаимодействовать друг с другом.
# PC2 и PC3 могут взаимодействовать друг с другом.
