摘要:
系统视图[Quidway]端口隔离模型2将端口以太网0/0/1添加到隔离组组1。8个域的中间业务被隔离。配置方法:interfaceEthernet 0/0/3mac-addresslearningdisableportlink-typedot1q-tunnelportdefaultvlan102#interfaceEthernet 0/0/4mac-addresslearningdisableportlink-typedot1-q-tunnelport defaultvlan102 port-isolateablegroup2#interfaceEthernet 1/0/5mac-addresslearning disableportlink-typedot1q-tunnelportdefaultvlan102 port-isolatetablegroup2#interface=Ethernet0/0/6mac地址学习禁用端口链接类型Edot1q隧道端口默认vlan102端口可隔离组2#接口以太网0/0/7mac地址学习停用端口链接类型dot1q隧道接口默认vlan103#接口以太网0/0/18mac地址学习禁用端口链接类型Dot1q隧道端口缺省vlan103端口可隔离分组3#接口以太网0/0/29mac地址学习tunnelportdefaultvlan103通过外部VLAN将交换机端口划分为非VLAN。在同一区域,您可以在内部使用隔离组作为发夹模式。
ps说明:以下命令均以华为交换机为例
一、基于组的隔离
特点:基于隔离组可以最大限度的保证vlan的使用(可以使用任意VLAN)
优点:配置方便,传输业务无限制。
缺点:同一交换机不同隔离组间会存在干扰。
场景:访问设备的同时向设备打流
测试场景举例:测试时需要访问设备反复在设备中修改配置,同时还要打各种流带VLAN、带DSCP等(主要用与被操作设备仅有一个LAN口需要走不同业务-vlan且业务间无然和干扰)
配置方法:
配置端口隔离模式为二层隔离三层互通。
<Quidway> system-view
[Quidway] port-isolate mode l2
将端口Ethernet0/0/1加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port-isolate enable group 1
[Quidway-Ethernet0/0/1] quit
#将端口Ethernet0/0/2加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port-isolate enable group 1
[Quidway-Ethernet0/0/2] quit
ethernet 0/0/3 不加入隔离组
使用:将管理PC接入交换机端口1,仪表接入交换机端口2,待测设备接入交换机端口3。
验证:
管理PC ping设备,可以ping通。
仪表ping设备,可以ping通。
管理PC ping仪表,不通。
二、基于VLAN的隔离
特点:基于VLAN的隔离可以使用不同端口模式充分利用交换机端口
缺点:对带vlan的业务敏感,需要配置不同模式处理VLAN
场景:访问同vlan的所有设备,不会收到广播域干扰
测试场景举例:使用vlan划分可以更好的利用交换机资源
配置方法:
#进入虚拟VLAN接口
interface vlanif10
#设置IP地址和掩码
ip address 197.6.1.1 255.255.255.0
#进入端口,设置access模式并将pvid设置为10
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
使用说明:
vlan 10的端口可互通,与vlan20无法通信。
vlanif就是创建三层接口,可以在上面配置IP的,通过IP访问设备
三、基于QinQ的隔离
特点:灵活QinQ,可以解决(一)中端口浪费的情况,可以用Qinq将交换机先划为几块,然后再内部做隔离组
优点:灵活度高,隔离方便,端口利用率高,业务无限制。
缺点:版本较低的交换机不支持该功能。
场景:发夹模式
测试场景举例:一组设备为6台,交换机有48个口,这样就可以用外层vlan将交换机分为8个vlan域。8个域中间业务隔离。然后再在每个域中组隔离组完成发夹。
配置方法:
interface Ethernet0/0/3
mac-address learning disable (关闭mac地址学习)
port link-type dot1q-tunnel (外层标签在dot1q隧道传输)
port default vlan 102 (配置外层vlan)
#
interface Ethernet0/0/4
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/5
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/6
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/7
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
#
interface Ethernet0/0/8
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
port-isolate enable group 3
#
interface Ethernet0/0/9
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
通过外层VLAN将交换机端口分为不同区域,内部可以使用隔离组做发夹模式。
验证:验证发夹隔离组即可,所有设备必须通过发夹反弹才能通信。
附:发夹模式的原理 https://www.cnblogs.com/xuanxuanBOSS/p/10753491.html
