前言:
目前大家对“ensp如何查看ip地址”大体比较注意,同学们都需要知道一些“ensp如何查看ip地址”的相关资讯。那么小编同时在网络上收集了一些对于“ensp如何查看ip地址””的相关文章,希望姐妹们能喜欢,我们一起来了解一下吧!二十二、应用高级ACL配置流分类
公司企业网通过Switch实现各部门之间的互连。要求正确配置ACL,禁
止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为
10.164.9.9),而总裁办公室不受限制,可以随时访问。
配置思路
采用如下的思路配置ACL:
1. 配置接口IP地址。
2. 配置时间段。
3. 配置ACL。
4. 配置流分类。
5. 配置流行为。
6. 配置流策略。
7. 在接口上应用流策略。
操作步骤
步骤1 配置接口IP地址
# 配置接口加入VLAN,并配置VLANIF接口的IP地址。
规划GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100。VLANIF接
口的地址取所在网段的第一个IP地址。下面配置以GE1/0/1接口为例,其他接口的配置与
此类似,不再赘述。
<Quidway> system-view
[Quidway] vlan batch 10 20 30 100
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] port link-type access
[Quidway-GigabitEthernet1/0/1] port default vlan 10
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Quidway-Vlanif10] quit
步骤2 配置时间段
# 配置8:00至17:30的周期时间段。
[Quidway] time-range satime 8:00 to 17:30 working-day
步骤3 配置ACL
# 配置市场部门到工资查询服务器的访问规则。
[Quidway] acl 3002
[Quidway-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime
[Quidway-acl-adv-3002] quit
# 配置研发部门到工资查询服务器的访问规则。
[Quidway] acl 3003
[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime
[Quidway-acl-adv-3003] quit
步骤4 配置基于ACL的流分类
# 配置流分类c_market,对匹配ACL 3002的报文进行分类。
[Quidway] traffic classifier c_market
[Quidway-classifier-c_market] if-match acl 3002
[Quidway-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。
[Quidway] traffic classifier c_rd
[Quidway-classifier-c_rd] if-match acl 3003
[Quidway-classifier-c_rd] quit
步骤5 配置流行为
# 配置流行为b_market,动作为拒绝报文通过。
[Quidway] traffic behavior b_market
[Quidway-behavior-b_market] deny
[Quidway-behavior-b_market] quit
# 配置流行为b_rd,动作为拒绝报文通过。
[Quidway] traffic behavior b_rd
[Quidway-behavior-b_rd] deny
[Quidway-behavior-b_rd] quit
步骤6 配置流策略
# 配置流策略p_market,将流分类c_market与流行为b_market关联。
[Quidway] traffic policy p_market
[Quidway-trafficpolicy-p_market] classifier c_market behavior b_market
[Quidway-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Quidway] traffic policy p_rd
[Quidway-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[Quidway-trafficpolicy-p_rd] quit
步骤7 应用流策略
# 将流策略p_market应用到GE1/0/2接口。
[Quidway] interface gigabitethernet 1/0/2
[Quidway-GigabitEthernet1/0/2] traffic-policy p_market inbound
[Quidway-GigabitEthernet1/0/2] quit
# 将流策略p_rd应用到GE1/0/3接口。
[Quidway] interface gigabitethernet 1/0/3
[Quidway-GigabitEthernet1/0/3] traffic-policy p_rd inbound
[Quidway-GigabitEthernet1/0/3] quit
步骤8 验证配置结果
# 查看ACL规则的配置信息。
[Quidway] display acl all
Total nonempty ACL number is 2
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter
0)(Active)
Advanced ACL 3003, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter
0)(Active)
# 查看流分类的配置信息。
[Quidway] display traffic classifier user-defined
# 查看流策略的配置信息。
[Quidway] display traffic policy user-defined
配置文件
#
acl number 3002
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
acl number 3003
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
traffic classifier c_market operator or precedence 5
if-match acl 3002
traffic classifier c_rd operator or precedence 10
if-match acl 3003
#
traffic behavior b_market
deny
traffic behavior b_rd
deny
#
traffic policy p_market
classifier c_market behavior b_market
traffic policy p_rd
classifier c_rd behavior b_rd
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.9.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
traffic-policy p_market inbound
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 30
traffic-policy p_rd inbound
#
interface GigabitEthernet2/0/1
port link-type access
port default vlan 100
#
return
二十三、配置QOS优先级映射
通过配置优先级映射,设备将来自不同用户的报文中的802.1p优先级映射成不同的服务
等级,从而提供差异化的服务。Switch通过接口GE2/0/1与路由器互连,企业部门1和企业部门2可经由Switch和路由器访问网络。企业部门1和企业部门2的VLAN ID分别为100、200。由于企业部门1的服务等级高,需要得到更好的QoS保证。来自企业部门1和2的报文802.1p值均为0,通过定义DiffServ域,将来自企业部门1的数据报文优先级映射为4,将来自企业部门2的数据报文优先级映射为2,以提供差分服务。
配置思路
采用如下的思路配置优先级映射:
1. 创建VLAN,并配置各接口,企业部门1和企业部门2都能够通过Switch访问网络。
2. 创建DiffServ域,将802.1p优先级映射为PHB行为和颜色。
3. 在Switch入接口GE1/0/1和GE1/0/2上绑定DiffServ域。
操作步骤
步骤1 创建VLAN并配置各接口
# 创建VLAN 100、200、300。
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200 300
# 将接口GE1/0/1、GE1/0/2、GE2/0/1的接入类型分别配置为trunk,并分别将接口
GE1/0/1、GE1/0/2加入VLAN 100、VLAN 200;接口GE2/0/1加入VLAN 100、VLAN 200
和VLAN 300。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 200
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] port link-type trunk
[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 300
[Switch-GigabitEthernet2/0/1] quit
# 创建VLANIF300,并配置接口IP地址192.168.1.1/24。
[Switch] interface vlanif 300
[Switch-Vlanif300] ip address 192.168.1.1 24
[Switch-Vlanif300] quit
说明
请在Router上的与Switch对接的接口上配置IP地址192.168.1.2/24。
步骤2 创建并配置DiffServ域
# 在Switch上创建DiffServ域ds1、ds2,并配置将企业部门1和企业部门2的802.1p优先级映射到服务等级。
[Switch] diffserv domain ds1
[Switch-dsdomain-ds1] 8021p-inbound 0 phb af4 green
[Switch-dsdomain-ds1] quit
[Switch] diffserv domain ds2
[Switch-dsdomain-ds2] 8021p-inbound 0 phb af2 green
[Switch-dsdomain-ds2] quit
步骤3 将DiffServ域绑定到接口
# 将DiffServ域ds1和ds2分别绑定到接口GE1/0/1、GE1/0/2。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] trust upstream ds1
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] trust upstream ds2
[Switch-GigabitEthernet1/0/2] quit
----结束
二十四、配置设备使用SNMPv1与网管通信
现有网络中网管NMS1和MNS2对网络中的设备进行监管。由于网络规模
较小,安全性较高等因素,在规划时配置设备使用SNMPv1版本与网管进行通信。
现在由于扩容需要,新增一台交换机,并由网管对其进行监管。用户希望通过利用现有
的网络资源对交换机进行监管,并且对发生故障能够快速对故障定位和排除。根据用户
业务需要,网管站需要对交换机的除ISIS的之外的节点管理。
配置思路
考虑到用户所在网络安全性较高,网络规模较小等因素,因此新增设备依然使用SNMPv1
版本。为减轻网管站的负担,选取NMS2来监管交换机,NMS1不监管交换机。
采用如下的配置思路:
1. 配置交换机的SNMP版本为SNMPv1。
2. 配置用户访问权限,使NMS2可以管理交换机上ISIS之外的节点。
3. 配置交换机的Trap功能,使交换机产生的告警能够发送至NMS2。为了方便对告警
信息进行定位,避免过多的无用告警对处理问题造成干扰,仅允许缺省打开的模块
可以发送告警。
4. 配置交换机管理员的联系方法,以便交换机出现故障时网管管理员能快速联系上就
近的设备管理员,以便对故障进行快速定位和排除。
5. 配置网管站(仅NMS2)。
操作步骤
步骤1 配置交换机的接口IP地址
# 按图11-1所示,配置交换机的接口IP地址。
<HUAWEI>system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 1.1.2.1 24
[HUAWEI-Vlanif100] quit
步骤2 配置交换机和网管站之间路由可达
[HUAWEI] ospf
[HUAWEI-ospf-1] area 0
[HUAWEI-ospf-1-area-0.0.0.0] network 1.1.2.0 0.0.0.255
[HUAWEI-ospf-1-area-0.0.0.0] quit
[HUAWEI-ospf-1] quit
步骤3 配置交换机的SNMP版本为SNMPv1
[HUAWEI] snmp-agent sys-info version v1
步骤4 配置网管站的访问权限
# 配置ACL,使NMS2可以管理交换机,NMS1不允许管理交换机。
[HUAWEI]acl 2001
[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0
[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0
[HUAWEI-acl-basic-2001] quit
# 配置MIB视图,限制NMS2可以管理交换机上除ISIS之外的节点。
[HUAWEI] snmp-agent mib-view excluded allextisis 1.3.6.1.3.37
# 配置团体名并引用ACL和MIB视图。
[HUAWEI] snmp-agent community write adminnms2 mib-view allextisis acl 2001
步骤5 配置告警功能
[HUAWEI] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname adminnms2
步骤6 配置设备管理员联系方式
[HUAWEI] snmp-agent sys-info contact call Operator at 010-12345678
步骤7 配置网管站(NMS2)
在使用SNMPv1版本的NMS上需要设置“读写团体名”。网管的配置请根据采用的网管
产品参考对应的网管配置手册。
说明
网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。
步骤8 验证配置结果
配置完成后,可以执行下面的命令,检查配置内容是否生效。
# 查看SNMP版本。
[HUAWEI] display snmp-agent sys-info version
SNMP version running in the system:
SNMPv1 SNMPv3
# 查看ACL配置。
[HUAWEI] display acl 2001
Basic ACL 2001, 2 rules
Acl's step is 5
rule 5 permit source 1.1.1.2 0 (match-counter 0)
rule 6 deny source 1.1.1.1 0 (match-counter 0)
# 查看MIB视图。
[HUAWEI] display snmp-agent mib-view viewname allextisis
View name:allextisis
MIB Subtree:isisMIB
Subtree mask:FC(Hex)
Storage-type: nonVolatile
View Type:excluded
View status:active
# 查看告警的目标主机。
[HUAWEI] display snmp-agent target-host
Target-host NO. 1
-----------------------------------------------------------
IP-address : 1.1.1.2
Source interface : -
VPN instance : -
Security name : %$%$n]*J3"Itf@UrL2"B%`$SdrO;%$%$
Port : 162
Type : trap
Version : v1
Level : No authentication and privacy
NMS type : NMS
With ext-vb : No
-----------------------------------------------------------
# 配置设备管理员联系方式。
[HUAWEI] display snmp-agent sys-info contact
The contact person for this managed node:
call Operator at 010-12345678
二十五、配置单播VLAN 和组播VLAN综合实例
配置思路
1. S5700的下游接口上配置VLAN Mapping,用户VLAN统一映射成VLAN100传输单播
业务,便于管理。
2. S5700上配置组播VLAN功能,VLAN200作为组播VLAN,用户VLAN加入组播
VLAN200。这样上游不仅实现了单播和组播业务传输的隔离,还减少了带宽浪费。
3. S7700上创建VLANIF100、VLANIF200,VLANIF100作为单播业务的网关接口,
VLANIF200作为组播业务的网关及IGMP查询器接口。
配置步骤
1. 在S5700、S7700上创建VLAN,端口加入VLAN。
# 配置S5700。
<S5700> system-view
[S5700] interface gigabitethernet0/0/1
[S5700-GigabitEthernet0/0/1] port link-type trunk
[S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[S5700-GigabitEthernet0/0/1] quit
[S5700] interface gigabitethernet0/0/2
[S5700-GigabitEthernet0/0/2] port link-type trunk
[S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[S5700-GigabitEthernet0/0/2] quit
[S5700] interface gigabitethernet0/0/3
[S5700-GigabitEthernet0/0/3] port link-type trunk
[S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 30
[S5700-GigabitEthernet0/0/3] quit
[S5700] interface gigabitethernet0/0/5
[S5700-GigabitEthernet0/0/5] port link-type trunk
[S5700-GigabitEthernet0/0/5] port trunk allow-pass vlan 100 200
[S5700-GigabitEthernet0/0/5] quit
# 配置S7700。
<S7700> system-view
[S7700] interface gigabitethernet1/0/5
[S7700-GigabitEthernet1/0/5] port link-type trunk
[S7700-GigabitEthernet1/0/5] port trunk allow-pass vlan 100 200
[S7700-GigabitEthernet1/0/5] quit
2. 在S5700的GE0/0/1、GE0/0/2、GE0/0/3上配置VLAN Mapping功能。
[S5700] interface gigabitethernet0/0/1
[S5700-GigabitEthernet0/0/1] qinq vlan-translation enable
[S5700-GigabitEthernet0/0/1] port vlan-mapping vlan 10 map-vlan 100
[S5700-GigabitEthernet0/0/1] quit
[S5700] interface gigabitethernet0/0/2
[S5700-GigabitEthernet0/0/2] qinq vlan-translation enable
[S5700-GigabitEthernet0/0/2] port vlan-mapping vlan 20 map-vlan 100
[S5700-GigabitEthernet0/0/2] quit
[S5700] interface gigabitethernet0/0/3
[S5700-GigabitEthernet0/0/3] qinq vlan-translation enable
[S5700-GigabitEthernet0/0/3] port vlan-mapping vlan 30 map-vlan 100
[S5700-GigabitEthernet0/0/3] quit
3. 在S5700上配置组播VLAN功能。
a. 在所有用户VLAN上使能IGMP Snooping功能。
[S5700] vlan 10
[S5700-vlan10] igmp-snooping enable
[S5700-vlan10] quit
[S5700] vlan 20
[S5700-vlan20] igmp-snooping enable
[S5700-vlan20] quit
[S5700] vlan 30
[S5700-vlan30] igmp-snooping enable
[S5700-vlan30] quit
b. 在VLAN200上先使能IGMP Snooping功能,再使能组播VLAN功能。
[S5700] vlan 200
[S5700-vlan200] igmp-snooping enable
[S5700-vlan200] multicast-vlan enable
c. 将所有用户VLAN加入组播VLAN200。
[S5700-vlan200] multicast-vlan enable
[S5700-vlan200] multicast-vlan user-vlan 10 20 30
[S5700-vlan200] quit
4. 在S7700上配置VLANIF100作为单播业务网关接口,VLANIF200作为组播业务网关
及IGMP查询器接口。
a. 创建VLANIF接口,在接口上配置IP地址。
[S7700] interface vlanif 100
[S7700-Vlanif100] ip address 10.1.1.1 24
[S7700-Vlanif100] quit
[S7700] interface vlanif 200
[S7700-Vlanif200] ip address 10.1.2.1 24
[S7700-Vlanif200] quit
b. 配置OSPF发布VLANIF100、VLANIF200接口所在网段的路由。
[S7700] ospf
[S7700-ospf-1] area 0
[S7700-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[S7700-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[S7700-ospf-1-area-0.0.0.0] quit
[S7700-ospf-1] quit
c. 在VLANIF200上使能IGMP协议。
[S7700] interface vlanif 200
[S7700-Vlanif200] igmp enable
[S7700-Vlanif200] quit
5. 检验配置结果。
l 检查S5700的VLAN Mapping功能是否配置正确。
# 首先在VLAN100上执行statistics enable命令,打开VLAN100的流量统计功
能。过了一段时间后,再在任意视图下执行display vlan 100 statistics命令,可以
看到出方向有统计流量,说明用户主机发出的单播报文能通过映射后的VLAN100
向上游发送,VLAN Mapping功能配置成功。
[S5700] display vlan 100 statistics
检查S5700的组播VLAN功能是否配置正确。
# 在S5700上执行display multicast-vlan vlan命令,可以看到组播VLAN配置正
确,IGMP Snooping功能已使能。
[S5700] display multicast-vlan vlan
# 在S5700上执行display user-vlan vlan命令,可以看到用户VLAN配置正确,
IGMP Snooping功能已使能。
[S5700] display user-vlan vlan
检查S7700的IGMP协议是否配置成功。
# IP地址为10.1.1.126的Host1向上游发送了加入组播组225.0.0.10的请求,在S7700
上执行display igmp group命令,可以看到有这条IGMP组表项。
[S7700-1] display igmp group
二十六、通过端口组批量配置
端口组也是有临时端口组和永久端口组两 种方式。如果你需要临时批量下发配置到指定的多个接口,可选用配置临时端口组。配置命令批量下发后,一旦退出端口组视图,该临时端口组将被系统自动删除。 如果你需要多次进行批量下发配置命令的操作,可选用配置永久端口组。即使退出端口组视图后,该端口组及对应的端口成员仍然存在,便于下次的批量下发配置。 如果你希望删除永久端口组,需要手动删除哦。下面我就给你说重点,该怎么配置端口组吧!”
如何配置临时端口组:
需要将GE1/0/1~GE1/0/20共二十个接口均关闭,但是后续这些接口由于配置不一致,还需要单独进行配置,那就可以选择临时端口组进行如下配置:
<HUAWEI> system-view
[HUAWEI] port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/20 // 将接口GE1/0/1~GE1/0/20加入到临时端口组,此步骤等同于执行命令interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/20
[HUAWEI-port-group]shutdown // 临时端口组视图中配置需要批量下发的命令
[HUAWEI-port-group] quit // 退出临时端口组后,系统就会自动删除这个临时端口组 .
配置永久端口组
需要将GE2/0/1~GE2/0/10共十个接口均配置为access接口,而且这些接口配置信息相对固定,均保持一致,那就可以选择永久端口组进行如下配置:
需要将GE2/0/1~GE2/0/10共十个接口均配置为access接口,而且这些接口配置信息相对固定,均保持一致,那就可以选择永久端口组进行如下配置:
<HUAWEI> system-view
[HUAWEI] port-group portgroup1 // 创建名称为portgroup1的永久端口组
[HUAWEI-port-group-portgroup1] group-member gigabitethernet2/0/1 to gigabitethernet 2/0/10
// 将接口GE2/0/1~GE2/0/10加入到永久端口组中
[HUAWEI-port-group-portgroup1] port link-type access
// 永久端口组视图中配置需要批量下发的命令
[HUAWEI-port-group-portgroup1] quit // 退出端口组视图后,名称portgroup1的永久端口组仍然存在
如何知道永久端口组中的成员接口呢?
行命令display port-group [ all | port-group-name ],就可以查看永久端口组的成员接口信息啦。
如何批量清除一个接口的所有配置。
只需要在接口视图下执行命令clear configuration this就可以一键清除接口下的配置啦。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
description switch-A
port link-type access
#
return
[HUAWEI-GigabitEthernet0/0/1] clear configuration this // 清除接口下所有配置,恢复到缺省值
Warning: All configurations of the interface will be cleared,and its state will be shutdown. Continue? [Y/N] :y
Info: Total 2 command(s) executed, 2 successful, 0 failed.
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
shutdown // 清除接口下所有配置后,接口将处于关闭状态
二十七、超实用的快速配置端口隔离
需求:中军大营士兵大营和辎重大营同属一个VLAN,默认都可以互相访问。现在,要求不改变网段规划和VLAN规划的情况下,实现:1) 中军大营和士兵大营不能互相访问; 2) 中军大营可以访问辎重大营,但辎重大营不能访问中军大营,且辎重大营和士兵大营始终可以互相访问。
端口隔离组:交换机的端口可以加入到特定的端口隔离组中,同一端口隔离组的端口之间互相隔离,不同端口隔离组的端口之间不隔离。因此,要完成上面的需求,配置思路其实非常简单。如下图所示,在交换机上将端口GE0/0/1和GE0/0/2加入同一个端口隔离组,GE0/0/3不加入端口隔离组或者加入另一个端口隔离组就OK了。
配置步骤如下:
<Huawei> system-view
[Huawei] sysname Switch
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端口隔离组5
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] port-isolate enable group 5 //端口GE0/0/2加入到端口隔离组5
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10 //端口GE0/0/3不加入端口隔离组
[Switch-GigabitEthernet0/0/3] quit
完成配置后,端口GE0/0/1和GE0/0/2就加入同一个端口隔离组,端口GE0/0/3不加入任何端口隔离组。这样,中军大营和士兵大营就不能互相访问了,但中军大营和辎重大营、士兵大营和辎重大营仍然可以互相访问。”
执行命令display port-isolate group { group-id | all }命令就可以查看端口隔离组的配置信息啦。
单向隔离可以解决另一个问题。单向隔离,顾名思义,只在单个方向上进行信息隔离。在接口A上配置它与接口B之间单向隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。就拿你提的这个问题来说吧,要实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营,就可以使用单向隔离功能。如下图所示,在端口GE0/0/3上配置单向隔离功能,并指定隔离的端口是GE0/0/1,这样,GE0/0/3上发出的报文不能到达GE0/0/1,而GE0/0/1发出的报文可以到达GE0/0/3,从而实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。
配置步骤如下:
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1 //在GE0/0/3上配置端口隔离功能,并指定隔离的端口是GE0/0/1
[Switch-GigabitEthernet0/0/3] quit
标签: #ensp如何查看ip地址