繼續上篇所說的,繼續細化講解vlan功能的使用。配合實例講解比較適合大家,比較配置後的結果才是真知。如果噹噹理論相信大家網上隨便百度都一大堆,甚至買書回來自己看就好。當然對於我計算機專業的來說,寫一大堆的文字也是折騰我了。
組網背景:大型網絡系統所有的vlan都是配置好,為了便於管控,也便於跟總部機房的數據通信,一般情況下某個分公司都只能有一個vlan。今天的實驗背景就是在同一個VLAN下,在不阻礙所有部門跟總部機房服務器數據交換的情況下,實現分公司內業務部門A和業務部門B之間的數據屏蔽,但是為了保證訂單準確下達至生產部門,所以部門A和部門B又可以與生產部數據通信。
網絡拓撲圖
1、設置三個部門的IP地址:
業務部A的IP地址192.168.10.2 255.255.255.0 192.168.10.1;
業務部B的IP地址192.168.10.3 255.255.255.0 192.168.10.1;
生產部的IP地址 192.168.10.4 255.255.255.0 192.168.10.1;
2、三層交換機配置
<huawei>system/<huawei>
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S5700
[S5700]vlan 10
[S5700-vlan10]quit
[S5700]int vlanif 10
[S5700-Vlanif10]ip address 192.168.10.1 24 //配置網關
[S5700-Vlanif10]quit
[S5700]int g0/0/1
[S5700-GigabitEthernet0/0/1]port link-type access
[S5700-GigabitEthernet0/0/1]port default vlan 10 //加入vlan10
[S5700-GigabitEthernet0/0/1]port-isolate enable //缺省加入端口隔離組1,且隔離模式為二層隔離三層互通。
[S5700-GigabitEthernet0/0/1]quit
[S5700]int g0/0/2
[S5700-GigabitEthernet0/0/2]port link-type access
[S5700-GigabitEthernet0/0/2]port default vlan 10
[S5700-GigabitEthernet0/0/2]port-isolate enable //缺省加入端口隔離組1,且隔離模式為二層隔離三層互通。
[S5700-GigabitEthernet0/0/2]quit
[S5700]int g0/0/3
[S5700-GigabitEthernet0/0/3]port link-type access
[S5700-GigabitEthernet0/0/3]port default vlan 10
[S5700-GigabitEthernet0/0/1]quit
3、測試結果
業務部A測試結果,業務部B類似
生產部測試結果
總結:
port-isolate enable是二層隔離三層互通的作用,如果要所有部門都互相隔離可以用命令port-isolate mode all,記住這個命令工作中也有可能遇到。
端口隔離分為二層隔離三層互通和二層三層都隔離兩種模式:
1、如果用戶希望隔離同一VLAN內的廣播報文,但是不同端口下的用戶還可以進行三層通信,則可以將隔離模式設置為二層隔離三層互通。用命令port-isolate enable。
2、如果用戶希望同一VLAN不同端口下用戶徹底無法通信,則可以將隔離模式配置為二層三層均隔離。用命令port-isolate mode all。