华为低端交换机典型配置实例---VLAN扩展配置

Isolate-user-VLAN端口隔离配置

1功能需求及组网说明

『配置环境参数』

1.        PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，PC3的IP地址为10.1.1.3/24，服务器的IP地址为10.1.1.253/24；PC1、PC2和PC3分别连接到交换机的端口E0/1 、E0/2和 E0/3，端口分属于VLAN10、20和30，服务器连接到交换机的端口G2/1，属于VLAN100。

2.        PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，PC3的IP地址为10.1.1.3/24，所有PC的网关在SwitchB上，地址为SwitchB的VLAN接口1000的地址10.1.1.254/24，SwitchA的管理地址为10.1.1.253/24；PC1、PC2和PC3分别连接到交换机的端口E0/1 、E0/2和 E0/3，端口分属于VLAN10、20和30，SwitchA通过端口G2/1，连接到SwitchB的端口G1/1；SwitchA的端口G2/1和SwitchB的端口G1/1均不是Trunk端口。

『组网需求』

1.        PC1、PC2和PC3之间禁止互访，但是都可以访问同网段的服务器。

2.        PC1、PC2和PC3之间禁止互访，但是都可以通过SwitchB上的网关，进行三层访问；SwitchB可以管理SwitchA。

2数据配置步骤

『交换机Isolate-user-VLAN完成端口隔离配置流程』

等同于原有命令行中的PVLAN，利用VLAN配置视图中，Isolate-user-VLAN命令(原有命令行中的Primary-VLAN)来完成。

『图1配置过程』

【SwitchA相关配置】

1.        创建（进入）VLAN10，将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1

2.        创建（进入）VLAN20，将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2

3.        创建（进入）VLAN30，将E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3

4.        创建（进入）VLAN100，将G2/1加入到VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1

5.        将VLAN100配置为Isolate-user-VLAN
[SwitchA-vlan100]Isolate-user-VLAN enable

6.        在系统视图模式下，配置Isolate-user-VLAN与各个secondary VLAN之间的映射关系
[SwitchA]isolate-user-vlan 100 secondary 10 20 30

【补充说明】

此功能配置主要用于对用户主机进行二层隔离。

在配置Isolate-user-VLAN与secondary VLAN之间的映射关系之前，Isolate-user-VLAN与secondary VLAN必须都包含物理端口。

配置了映射关系之后，不可以再对Isolate-user-VLAN或secondary VLAN进行端口增减的操作，必须先解除映射关系。

『图2配置过程』

【SwitchA相关配置】

主要配置与图1中的配置一样。只需为SwitchA的VLAN接口100配置IP地址10.1.1.253/24即可。
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip addr 10.1.1.253 255.255.255.0

【SwitchB相关配置】

1.        创建（进入）VLAN1000，将G1/1加入到VLAN1000
[SwitchB]vlan 1000
[SwitchB-vlan1000]port GigabitEthernet 1/1

2.        创建（进入）VLAN接口1000，并配置IP地址
[SwitchB]interface Vlan-interface 1000
[SwitchB-Vlan-interface1000]ip addr 10.1.1.254 255.255.255.0

VLAN内端口隔离配置

1功能需求及组网说明

『配置环境参数』

1.        PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，服务器的IP地址为10.1.1.253/24

2.        PC1连接到交换机的端口0/1，PC2连接到端口0/2，服务器连接到端口G1/1，且各端口都属于VLAN10

『组网需求』

1.        同一VLAN内的PC之间不能互相访问

2.        同一VLAN内的PC都可以通过上行口G1/1，访问服务器

2数据配置步骤

『VLAN内端口隔离配置流程』

利用VLAN配置视图中，port-isolate命令来隔离VLAN内的端口。

【SwitchA相关配置】

1.        创建（进入）VLAN10
[SwitchA]vlan 10

2.        将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1

3.        配置VLAN10内的端口隔离
[SwitchA-vlan10]port-isolate enable

4.        将连接服务器的端口配置为隔离端口的上行端口
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port-isolate uplink-port vlan 10

【补充说明】

VLAN内端口隔离功能是用于隔离同一VLAN内，相同IP网段的用户。

上述组网中，可以将服务器更换为其他三层网络设备，做为用户的网关负责用户的三层业务转发。

注意！一个VLAN只能存在一个uplink端口。