继续上篇所说的,继续细化讲解vlan功能的使用。配合实例讲解比较适合大家,比较配置后的结果才是真知。如果当当理论相信大家网上随便百度都一大堆,甚至买书回来自己看就好。当然对于我计算机专业的来说,写一大堆的文字也是折腾我了。
组网背景:大型网络系统所有的vlan都是配置好,为了便于管控,也便于跟总部机房的数据通信,一般情况下某个分公司都只能有一个vlan。今天的实验背景就是在同一个VLAN下,在不阻碍所有部门跟总部机房服务器数据交换的情况下,实现分公司内业务部门A和业务部门B之间的数据屏蔽,但是为了保证订单准确下达至生产部门,所以部门A和部门B又可以与生产部数据通信。
网络拓扑图
1、设置三个部门的IP地址:
业务部A的IP地址192.168.10.2 255.255.255.0 192.168.10.1;
业务部B的IP地址192.168.10.3 255.255.255.0 192.168.10.1;
生产部的IP地址 192.168.10.4 255.255.255.0 192.168.10.1;
2、三层交换机配置
<huawei>system/<huawei>
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S5700
[S5700]vlan 10
[S5700-vlan10]quit
[S5700]int vlanif 10
[S5700-Vlanif10]ip address 192.168.10.1 24 //配置网关
[S5700-Vlanif10]quit
[S5700]int g0/0/1
[S5700-GigabitEthernet0/0/1]port link-type access
[S5700-GigabitEthernet0/0/1]port default vlan 10 //加入vlan10
[S5700-GigabitEthernet0/0/1]port-isolate enable //缺省加入端口隔离组1,且隔离模式为二层隔离三层互通。
[S5700-GigabitEthernet0/0/1]quit
[S5700]int g0/0/2
[S5700-GigabitEthernet0/0/2]port link-type access
[S5700-GigabitEthernet0/0/2]port default vlan 10
[S5700-GigabitEthernet0/0/2]port-isolate enable //缺省加入端口隔离组1,且隔离模式为二层隔离三层互通。
[S5700-GigabitEthernet0/0/2]quit
[S5700]int g0/0/3
[S5700-GigabitEthernet0/0/3]port link-type access
[S5700-GigabitEthernet0/0/3]port default vlan 10
[S5700-GigabitEthernet0/0/1]quit
3、测试结果
业务部A测试结果,业务部B类似
生产部测试结果
总结:
port-isolate enable是二层隔离三层互通的作用,如果要所有部门都互相隔离可以用命令port-isolate mode all,记住这个命令工作中也有可能遇到。
端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
1、如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。用命令port-isolate enable。
2、如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。用命令port-isolate mode all。