• 交换机二层端口隔离配置详解

    ps说明:以下命令均以华为交换机为例

    一、基于组的隔离

    特点:基于隔离组可以最大限度的保证vlan的使用(可以使用任意VLAN)
    优点:配置方便,传输业务无限制
    缺点:同一交换机不同隔离组间会存在干扰。
    场景:访问设备的同时向设备打流

    测试场景举例:测试时需要访问设备反复在设备中修改配置,同时还要打各种流带VLAN、带DSCP等(主要用与被操作设备仅有一个LAN口需要走不同业务-vlan且业务间无然和干扰)

    配置方法

    配置端口隔离模式为二层隔离三层互通。
<Quidway> system-view
[Quidway] port-isolate mode l2

将端口Ethernet0/0/1加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port-isolate enable group 1
[Quidway-Ethernet0/0/1] quit

#将端口Ethernet0/0/2加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port-isolate enable group 1
[Quidway-Ethernet0/0/2] quit

ethernet 0/0/3 不加入隔离组

    使用:将管理PC接入交换机端口1,仪表接入交换机端口2,待测设备接入交换机端口3。

    验证
    管理PC ping设备,可以ping通。
    仪表ping设备,可以ping通。
    管理PC ping仪表,不通。

    二、基于VLAN的隔离

    特点:基于VLAN的隔离可以使用不同端口模式充分利用交换机端口
    缺点对带vlan的业务敏感,需要配置不同模式处理VLAN
    场景:访问同vlan的所有设备,不会收到广播域干扰

    测试场景举例:使用vlan划分可以更好的利用交换机资源
    配置方法

    #进入虚拟VLAN接口
interface vlanif10
#设置IP地址和掩码
ip address 197.6.1.1 255.255.255.0
#进入端口,设置access模式并将pvid设置为10
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20

    使用说明
    vlan 10的端口可互通,与vlan20无法通信。
    vlanif就是创建三层接口,可以在上面配置IP的,通过IP访问设备

    三、基于QinQ的隔离

    特点:灵活QinQ,可以解决(一)中端口浪费的情况,可以用Qinq将交换机先划为几块,然后再内部做隔离组
    优点:灵活度高,隔离方便,端口利用率高,业务无限制
    缺点:版本较低的交换机不支持该功能。
    场景:发夹模式

    测试场景举例:一组设备为6台,交换机有48个口,这样就可以用外层vlan将交换机分为8个vlan域。8个域中间业务隔离。然后再在每个域中组隔离组完成发夹。

    配置方法

    interface Ethernet0/0/3
mac-address learning disable   (关闭mac地址学习)
port link-type dot1q-tunnel    (外层标签在dot1q隧道传输)
port default vlan 102          (配置外层vlan)
#
interface Ethernet0/0/4
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/5
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/6
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/7
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
#
interface Ethernet0/0/8
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
port-isolate enable group 3
#
interface Ethernet0/0/9
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103

    通过外层VLAN将交换机端口分为不同区域,内部可以使用隔离组做发夹模式。

    验证:验证发夹隔离组即可,所有设备必须通过发夹反弹才能通信。

    附:发夹模式的原理 https://www.cnblogs.com/xuanxuanBOSS/p/10753491.html
  • 相关阅读:
    利用 pandas库读取excel表格数据
    Spark学习笔记3——RDD(下)
    Spark学习笔记2——RDD(上)
    Spark学习笔记1——第一个Spark程序:单词数统计
    Spark学习笔记0——简单了解和技术架构
    java标识符和关键字
    数据库事务ACID特性(原子性、一致性、隔离性、持久性)
    大数据系统的运行
    虚拟机和hadoop
    大数据基础1
  • 原文地址:https://www.cnblogs.com/xuanxuanBOSS/p/11428527.html
Copyright © 2020-2023  润新知