交换机端口隔离配置
通常,要实现交换机端口之间的隔离,最简单常用的方法就是划分 VLAN (虚拟局域网)。然而在具 体应用中,往往又希望端口隔离后某些 VALN 之间能灵活互访。一般情况下,需要在二层交换机上实现 隔离,然后在上联的三层交换机或路由器上实现 VLAN 之间的互访。 实际上,只利用二层交换机同样可以完成隔离与互访的功能,这就是二层交换机 Hybrid (混合)端口 模式的应用。 1 交换机链路端口模式 华为二层交换机一般有四种链路端口模式,分别是Access、 Trunk 、 Hybrid 端口模式。 1.1 Access 端口模式 Access 类型的端口只能属于一个 VLAN , 所以它的缺省 VLAN 就是它所在的 VLAN ,不用设置。 一般作为连接计算机的端口。 1.2 Trunk 端口模式 Trunk 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,一般作为交换机之间连 接的端口。 1.3 Hybrid 端口模式 Hybrid 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,可以用于交换机之间 连接,也可以用于连接用户的计算机。 Hybrid 端口模式的特点如下: Hybrid 属性是一种混和模式,实现了在一个 untagged ( 不打标签 ) 端口允许报文以 tagged (打标签) 形式送出交换机。 同时, 可以利用 Hybrid 属性来定义分别属于不同 VLAN 端口之间的互访, 这是 Access 和 Trunk 端口所不能实现的。 Hybrid 端口还可以设置哪些 VLAN 的报文打上标签,哪些不打标签,为实现对不同 VLAN 报文执行 不同处理流程打下了基础。 如果设置了端口的缺省 VLAN ID ,当端口接收到不带 VLAN Tag 的报文后,则将报文转发到属于缺 省 VLAN 的端口; 当端口发送带有 VLAN Tag 的报文时, 如果该报文的 VLAN ID 与端口缺省的 VLAN ID 相同,则系统将去掉报文的 VLAN Tag ,然后再发送该报文。 Hybrid 与 Trunk 端口模式的区别是: Hybrid 端口可以允许多个 VLAN 的报文发送时不打标签 ( untagged ) ,而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。 交换机 Hybrid 端口隔离配置 1 功能需求及组网说明 交换机 Hybrid端口隔离配置 图 1 『配置环境参数』 1. PC1、 PC2和 PC3分别连接到二层交换机 SwitchA的端口 E0/1 、E0/2 和 E0/3, 端口分属于 VLAN10、 20 和 30, 服务器连接到端口 G2/1, 属于 VLAN100。 2. PC1的 IP 地址为 10.1.1.1/24,PC2的 IP 地址为 10.1.1.2/24,PC3 的 IP 地址为 10.1.1.3/24,服务器的 IP 地址为 10.1.1.254/24。 『组网需求』 1. PC1和 PC2之间可以互访; 2. PC1和 PC3之间可以互访; 3. PC1、PC2和 PC3都可以访问服务器; 4. 其余的 PC 间访问均禁止。 交换机 Hybrid端口隔离配置 图 2 『配置环境参数』 1. PC1、 PC2和 PC3分别连接到二层交换机 SwitchA的端口 E0/1 、E0/2 和 E0/3, 端口分属于VLAN10、 20和30; PC4和PC5分别连接到二层交换机 SwitchB 的端口 E0/1和 E0/2,端口分属于 VLAN10和 20; 2. SwitchA通过端口 G2/1, 连接到 SwitchB的端口 G1/1;SwitchA的端 口 G2/1和 SwitchB的端口 G1/1均不是 Trunk端口; 3. PC1的 IP 地址为 10.1.1.1/24,PC2的 IP 地址为 10.1.1.2/24,PC3 的 IP 地址为 10.1.1.3/24,PC4的 IP 地址为 10.1.1.4/24,PC5的 IP 地址为 10.1.1.5/24。 『组网需求』 1. PC1和 PC3之间可以互访; 2. PC2和 PC3之间可以互访; 3. PC1和 PC4之间可以互访; 4. PC2和 PC5之间可以互访; 5. 其余 PC 之间均禁止互相访问。 2 数据配置步骤 『交换机 Hybrid端口配置流程』 利用 Hybrid端口的特性――一个端口可以属于多个不同的 VLAN,来完成分属不 同 VLAN内的同网段 PC 机的访问需求。 『图 1 配置过程』 【SwitchA相关配置】 1. 创建(进入)VLAN10,将 E0/1加入到 VLAN10 [SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 2. 创建(进入)VLAN20,将 E0/2加入到 VLAN20 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/2 3. 创建(进入)VLAN30,将 E0/3加入到 VLAN30 [SwitchA]vlan 30 [SwitchA-vlan30]port Ethernet 0/3 4. 创建(进入)VLAN100,将 G2/1加入到 VLAN100 [SwitchA]vlan 100 [SwitchA-vlan100]port GigabitEthernet 2/1 5. 配置端口 E0/1为 Hybrid端口,能够接收 VLAN20、30 和 100发过来 的报文 [SwitchA]interface Ethernet 0/1 [SwitchA-Ethernet0/1]port link-type hybrid [SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged 6. 配置端口 E0/2为 Hybrid端口,能够接收 VLAN10和 100发过来的报 文 [SwitchA]interface Ethernet 0/2 [SwitchA-Ethernet0/2]port link-type hybrid [SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged 7. 配置端口 E0/3为 Hybrid端口,能够接收 VLAN10和 100发过来的报 文 [SwitchA]interface Ethernet 0/3 [SwitchA-Ethernet0/3]port link-type hybrid [SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged 8. 配置端口 G2/1为 Hybrid端口, 能够接收 VLAN10、20 和 30 发过来的 报文 [SwitchA]interface GigabitEthernet 2/1 [Swit