龙空技术网

华为ensp基础配置文档(五)

IT运维那些事 345

前言:

目前大家对“ensp如何查看ip地址”大体比较注意,同学们都需要知道一些“ensp如何查看ip地址”的相关资讯。那么小编同时在网络上收集了一些对于“ensp如何查看ip地址””的相关文章,希望姐妹们能喜欢,我们一起来了解一下吧!

二十二、应用高级ACL配置流分类

公司企业网通过Switch实现各部门之间的互连。要求正确配置ACL,禁

止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为

10.164.9.9),而总裁办公室不受限制,可以随时访问。

配置思路

采用如下的思路配置ACL:

1. 配置接口IP地址。

2. 配置时间段。

3. 配置ACL。

4. 配置流分类。

5. 配置流行为。

6. 配置流策略。

7. 在接口上应用流策略。

操作步骤

步骤1 配置接口IP地址

# 配置接口加入VLAN,并配置VLANIF接口的IP地址。

规划GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100。VLANIF接

口的地址取所在网段的第一个IP地址。下面配置以GE1/0/1接口为例,其他接口的配置与

此类似,不再赘述。

<Quidway> system-view

[Quidway] vlan batch 10 20 30 100

[Quidway] interface gigabitethernet 1/0/1

[Quidway-GigabitEthernet1/0/1] port link-type access

[Quidway-GigabitEthernet1/0/1] port default vlan 10

[Quidway-GigabitEthernet1/0/1] quit

[Quidway] interface vlanif 10

[Quidway-Vlanif10] ip address 10.164.1.1 255.255.255.0

[Quidway-Vlanif10] quit

步骤2 配置时间段

# 配置8:00至17:30的周期时间段。

[Quidway] time-range satime 8:00 to 17:30 working-day

步骤3 配置ACL

# 配置市场部门到工资查询服务器的访问规则。

[Quidway] acl 3002

[Quidway-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime

[Quidway-acl-adv-3002] quit

# 配置研发部门到工资查询服务器的访问规则。

[Quidway] acl 3003

[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime

[Quidway-acl-adv-3003] quit

步骤4 配置基于ACL的流分类

# 配置流分类c_market,对匹配ACL 3002的报文进行分类。

[Quidway] traffic classifier c_market

[Quidway-classifier-c_market] if-match acl 3002

[Quidway-classifier-c_market] quit

# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。

[Quidway] traffic classifier c_rd

[Quidway-classifier-c_rd] if-match acl 3003

[Quidway-classifier-c_rd] quit

步骤5 配置流行为

# 配置流行为b_market,动作为拒绝报文通过。

[Quidway] traffic behavior b_market

[Quidway-behavior-b_market] deny

[Quidway-behavior-b_market] quit

# 配置流行为b_rd,动作为拒绝报文通过。

[Quidway] traffic behavior b_rd

[Quidway-behavior-b_rd] deny

[Quidway-behavior-b_rd] quit

步骤6 配置流策略

# 配置流策略p_market,将流分类c_market与流行为b_market关联。

[Quidway] traffic policy p_market

[Quidway-trafficpolicy-p_market] classifier c_market behavior b_market

[Quidway-trafficpolicy-p_market] quit

# 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。

[Quidway] traffic policy p_rd

[Quidway-trafficpolicy-p_rd] classifier c_rd behavior b_rd

[Quidway-trafficpolicy-p_rd] quit

步骤7 应用流策略

# 将流策略p_market应用到GE1/0/2接口。

[Quidway] interface gigabitethernet 1/0/2

[Quidway-GigabitEthernet1/0/2] traffic-policy p_market inbound

[Quidway-GigabitEthernet1/0/2] quit

# 将流策略p_rd应用到GE1/0/3接口。

[Quidway] interface gigabitethernet 1/0/3

[Quidway-GigabitEthernet1/0/3] traffic-policy p_rd inbound

[Quidway-GigabitEthernet1/0/3] quit

步骤8 验证配置结果

# 查看ACL规则的配置信息。

[Quidway] display acl all

Total nonempty ACL number is 2

Advanced ACL 3002, 1 rule

Acl's step is 5

rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter

0)(Active)

Advanced ACL 3003, 1 rule

Acl's step is 5

rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter

0)(Active)

# 查看流分类的配置信息。

[Quidway] display traffic classifier user-defined

# 查看流策略的配置信息。

[Quidway] display traffic policy user-defined

配置文件

#

acl number 3002

rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime

#

acl number 3003

rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime

#

traffic classifier c_market operator or precedence 5

if-match acl 3002

traffic classifier c_rd operator or precedence 10

if-match acl 3003

#

traffic behavior b_market

deny

traffic behavior b_rd

deny

#

traffic policy p_market

classifier c_market behavior b_market

traffic policy p_rd

classifier c_rd behavior b_rd

#

interface Vlanif10

ip address 10.164.1.1 255.255.255.0

#

interface Vlanif20

ip address 10.164.2.1 255.255.255.0

#

interface Vlanif30

ip address 10.164.3.1 255.255.255.0

#

interface Vlanif100

ip address 10.164.9.1 255.255.255.0

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

traffic-policy p_market inbound

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 30

traffic-policy p_rd inbound

#

interface GigabitEthernet2/0/1

port link-type access

port default vlan 100

#

return

二十三、配置QOS优先级映射

通过配置优先级映射,设备将来自不同用户的报文中的802.1p优先级映射成不同的服务

等级,从而提供差异化的服务。Switch通过接口GE2/0/1与路由器互连,企业部门1和企业部门2可经由Switch和路由器访问网络。企业部门1和企业部门2的VLAN ID分别为100、200。由于企业部门1的服务等级高,需要得到更好的QoS保证。来自企业部门1和2的报文802.1p值均为0,通过定义DiffServ域,将来自企业部门1的数据报文优先级映射为4,将来自企业部门2的数据报文优先级映射为2,以提供差分服务。

配置思路

采用如下的思路配置优先级映射:

1. 创建VLAN,并配置各接口,企业部门1和企业部门2都能够通过Switch访问网络。

2. 创建DiffServ域,将802.1p优先级映射为PHB行为和颜色。

3. 在Switch入接口GE1/0/1和GE1/0/2上绑定DiffServ域。

操作步骤

步骤1 创建VLAN并配置各接口

# 创建VLAN 100、200、300。

<Quidway> system-view

[Quidway] sysname Switch

[Switch] vlan batch 100 200 300

# 将接口GE1/0/1、GE1/0/2、GE2/0/1的接入类型分别配置为trunk,并分别将接口

GE1/0/1、GE1/0/2加入VLAN 100、VLAN 200;接口GE2/0/1加入VLAN 100、VLAN 200

和VLAN 300。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type trunk

[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 200

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface gigabitethernet 2/0/1

[Switch-GigabitEthernet2/0/1] port link-type trunk

[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 300

[Switch-GigabitEthernet2/0/1] quit

# 创建VLANIF300,并配置接口IP地址192.168.1.1/24。

[Switch] interface vlanif 300

[Switch-Vlanif300] ip address 192.168.1.1 24

[Switch-Vlanif300] quit

说明

请在Router上的与Switch对接的接口上配置IP地址192.168.1.2/24。

步骤2 创建并配置DiffServ域

# 在Switch上创建DiffServ域ds1、ds2,并配置将企业部门1和企业部门2的802.1p优先级映射到服务等级。

[Switch] diffserv domain ds1

[Switch-dsdomain-ds1] 8021p-inbound 0 phb af4 green

[Switch-dsdomain-ds1] quit

[Switch] diffserv domain ds2

[Switch-dsdomain-ds2] 8021p-inbound 0 phb af2 green

[Switch-dsdomain-ds2] quit

步骤3 将DiffServ域绑定到接口

# 将DiffServ域ds1和ds2分别绑定到接口GE1/0/1、GE1/0/2。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] trust upstream ds1

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] trust upstream ds2

[Switch-GigabitEthernet1/0/2] quit

----结束

二十四、配置设备使用SNMPv1与网管通信

现有网络中网管NMS1和MNS2对网络中的设备进行监管。由于网络规模

较小,安全性较高等因素,在规划时配置设备使用SNMPv1版本与网管进行通信。

现在由于扩容需要,新增一台交换机,并由网管对其进行监管。用户希望通过利用现有

的网络资源对交换机进行监管,并且对发生故障能够快速对故障定位和排除。根据用户

业务需要,网管站需要对交换机的除ISIS的之外的节点管理。

配置思路

考虑到用户所在网络安全性较高,网络规模较小等因素,因此新增设备依然使用SNMPv1

版本。为减轻网管站的负担,选取NMS2来监管交换机,NMS1不监管交换机。

采用如下的配置思路:

1. 配置交换机的SNMP版本为SNMPv1。

2. 配置用户访问权限,使NMS2可以管理交换机上ISIS之外的节点。

3. 配置交换机的Trap功能,使交换机产生的告警能够发送至NMS2。为了方便对告警

信息进行定位,避免过多的无用告警对处理问题造成干扰,仅允许缺省打开的模块

可以发送告警。

4. 配置交换机管理员的联系方法,以便交换机出现故障时网管管理员能快速联系上就

近的设备管理员,以便对故障进行快速定位和排除。

5. 配置网管站(仅NMS2)。

操作步骤

步骤1 配置交换机的接口IP地址

# 按图11-1所示,配置交换机的接口IP地址。

<HUAWEI>system-view

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 100

[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 100

[HUAWEI-GigabitEthernet0/0/1] quit

[HUAWEI] interface vlanif 100

[HUAWEI-Vlanif100] ip address 1.1.2.1 24

[HUAWEI-Vlanif100] quit

步骤2 配置交换机和网管站之间路由可达

[HUAWEI] ospf

[HUAWEI-ospf-1] area 0

[HUAWEI-ospf-1-area-0.0.0.0] network 1.1.2.0 0.0.0.255

[HUAWEI-ospf-1-area-0.0.0.0] quit

[HUAWEI-ospf-1] quit

步骤3 配置交换机的SNMP版本为SNMPv1

[HUAWEI] snmp-agent sys-info version v1

步骤4 配置网管站的访问权限

# 配置ACL,使NMS2可以管理交换机,NMS1不允许管理交换机。

[HUAWEI]acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

# 配置MIB视图,限制NMS2可以管理交换机上除ISIS之外的节点。

[HUAWEI] snmp-agent mib-view excluded allextisis 1.3.6.1.3.37

# 配置团体名并引用ACL和MIB视图。

[HUAWEI] snmp-agent community write adminnms2 mib-view allextisis acl 2001

步骤5 配置告警功能

[HUAWEI] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname adminnms2

步骤6 配置设备管理员联系方式

[HUAWEI] snmp-agent sys-info contact call Operator at 010-12345678

步骤7 配置网管站(NMS2)

在使用SNMPv1版本的NMS上需要设置“读写团体名”。网管的配置请根据采用的网管

产品参考对应的网管配置手册。

说明

网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。

步骤8 验证配置结果

配置完成后,可以执行下面的命令,检查配置内容是否生效。

# 查看SNMP版本。

[HUAWEI] display snmp-agent sys-info version

SNMP version running in the system:

SNMPv1 SNMPv3

# 查看ACL配置。

[HUAWEI] display acl 2001

Basic ACL 2001, 2 rules

Acl's step is 5

rule 5 permit source 1.1.1.2 0 (match-counter 0)

rule 6 deny source 1.1.1.1 0 (match-counter 0)

# 查看MIB视图。

[HUAWEI] display snmp-agent mib-view viewname allextisis

View name:allextisis

MIB Subtree:isisMIB

Subtree mask:FC(Hex)

Storage-type: nonVolatile

View Type:excluded

View status:active

# 查看告警的目标主机。

[HUAWEI] display snmp-agent target-host

Target-host NO. 1

-----------------------------------------------------------

IP-address : 1.1.1.2

Source interface : -

VPN instance : -

Security name : %$%$n]*J3"Itf@UrL2"B%`$SdrO;%$%$

Port : 162

Type : trap

Version : v1

Level : No authentication and privacy

NMS type : NMS

With ext-vb : No

-----------------------------------------------------------

# 配置设备管理员联系方式。

[HUAWEI] display snmp-agent sys-info contact

The contact person for this managed node:

call Operator at 010-12345678

二十五、配置单播VLAN 和组播VLAN综合实例

配置思路

1. S5700的下游接口上配置VLAN Mapping,用户VLAN统一映射成VLAN100传输单播

业务,便于管理。

2. S5700上配置组播VLAN功能,VLAN200作为组播VLAN,用户VLAN加入组播

VLAN200。这样上游不仅实现了单播和组播业务传输的隔离,还减少了带宽浪费。

3. S7700上创建VLANIF100、VLANIF200,VLANIF100作为单播业务的网关接口,

VLANIF200作为组播业务的网关及IGMP查询器接口。

配置步骤

1. 在S5700、S7700上创建VLAN,端口加入VLAN。

# 配置S5700。

<S5700> system-view

[S5700] interface gigabitethernet0/0/1

[S5700-GigabitEthernet0/0/1] port link-type trunk

[S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[S5700-GigabitEthernet0/0/1] quit

[S5700] interface gigabitethernet0/0/2

[S5700-GigabitEthernet0/0/2] port link-type trunk

[S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 20

[S5700-GigabitEthernet0/0/2] quit

[S5700] interface gigabitethernet0/0/3

[S5700-GigabitEthernet0/0/3] port link-type trunk

[S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 30

[S5700-GigabitEthernet0/0/3] quit

[S5700] interface gigabitethernet0/0/5

[S5700-GigabitEthernet0/0/5] port link-type trunk

[S5700-GigabitEthernet0/0/5] port trunk allow-pass vlan 100 200

[S5700-GigabitEthernet0/0/5] quit

# 配置S7700。

<S7700> system-view

[S7700] interface gigabitethernet1/0/5

[S7700-GigabitEthernet1/0/5] port link-type trunk

[S7700-GigabitEthernet1/0/5] port trunk allow-pass vlan 100 200

[S7700-GigabitEthernet1/0/5] quit

2. 在S5700的GE0/0/1、GE0/0/2、GE0/0/3上配置VLAN Mapping功能。

[S5700] interface gigabitethernet0/0/1

[S5700-GigabitEthernet0/0/1] qinq vlan-translation enable

[S5700-GigabitEthernet0/0/1] port vlan-mapping vlan 10 map-vlan 100

[S5700-GigabitEthernet0/0/1] quit

[S5700] interface gigabitethernet0/0/2

[S5700-GigabitEthernet0/0/2] qinq vlan-translation enable

[S5700-GigabitEthernet0/0/2] port vlan-mapping vlan 20 map-vlan 100

[S5700-GigabitEthernet0/0/2] quit

[S5700] interface gigabitethernet0/0/3

[S5700-GigabitEthernet0/0/3] qinq vlan-translation enable

[S5700-GigabitEthernet0/0/3] port vlan-mapping vlan 30 map-vlan 100

[S5700-GigabitEthernet0/0/3] quit

3. 在S5700上配置组播VLAN功能。

a. 在所有用户VLAN上使能IGMP Snooping功能。

[S5700] vlan 10

[S5700-vlan10] igmp-snooping enable

[S5700-vlan10] quit

[S5700] vlan 20

[S5700-vlan20] igmp-snooping enable

[S5700-vlan20] quit

[S5700] vlan 30

[S5700-vlan30] igmp-snooping enable

[S5700-vlan30] quit

b. 在VLAN200上先使能IGMP Snooping功能,再使能组播VLAN功能。

[S5700] vlan 200

[S5700-vlan200] igmp-snooping enable

[S5700-vlan200] multicast-vlan enable

c. 将所有用户VLAN加入组播VLAN200。

[S5700-vlan200] multicast-vlan enable

[S5700-vlan200] multicast-vlan user-vlan 10 20 30

[S5700-vlan200] quit

4. 在S7700上配置VLANIF100作为单播业务网关接口,VLANIF200作为组播业务网关

及IGMP查询器接口。

a. 创建VLANIF接口,在接口上配置IP地址。

[S7700] interface vlanif 100

[S7700-Vlanif100] ip address 10.1.1.1 24

[S7700-Vlanif100] quit

[S7700] interface vlanif 200

[S7700-Vlanif200] ip address 10.1.2.1 24

[S7700-Vlanif200] quit

b. 配置OSPF发布VLANIF100、VLANIF200接口所在网段的路由。

[S7700] ospf

[S7700-ospf-1] area 0

[S7700-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[S7700-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255

[S7700-ospf-1-area-0.0.0.0] quit

[S7700-ospf-1] quit

c. 在VLANIF200上使能IGMP协议。

[S7700] interface vlanif 200

[S7700-Vlanif200] igmp enable

[S7700-Vlanif200] quit

5. 检验配置结果。

l 检查S5700的VLAN Mapping功能是否配置正确。

# 首先在VLAN100上执行statistics enable命令,打开VLAN100的流量统计功

能。过了一段时间后,再在任意视图下执行display vlan 100 statistics命令,可以

看到出方向有统计流量,说明用户主机发出的单播报文能通过映射后的VLAN100

向上游发送,VLAN Mapping功能配置成功。

[S5700] display vlan 100 statistics

检查S5700的组播VLAN功能是否配置正确。

# 在S5700上执行display multicast-vlan vlan命令,可以看到组播VLAN配置正

确,IGMP Snooping功能已使能。

[S5700] display multicast-vlan vlan

# 在S5700上执行display user-vlan vlan命令,可以看到用户VLAN配置正确,

IGMP Snooping功能已使能。

[S5700] display user-vlan vlan

检查S7700的IGMP协议是否配置成功。

# IP地址为10.1.1.126的Host1向上游发送了加入组播组225.0.0.10的请求,在S7700

上执行display igmp group命令,可以看到有这条IGMP组表项。

[S7700-1] display igmp group

二十六、通过端口组批量配置

端口组也是有临时端口组和永久端口组两 种方式。如果你需要临时批量下发配置到指定的多个接口,可选用配置临时端口组。配置命令批量下发后,一旦退出端口组视图,该临时端口组将被系统自动删除。 如果你需要多次进行批量下发配置命令的操作,可选用配置永久端口组。即使退出端口组视图后,该端口组及对应的端口成员仍然存在,便于下次的批量下发配置。 如果你希望删除永久端口组,需要手动删除哦。下面我就给你说重点,该怎么配置端口组吧!”

如何配置临时端口组:

需要将GE1/0/1~GE1/0/20共二十个接口均关闭,但是后续这些接口由于配置不一致,还需要单独进行配置,那就可以选择临时端口组进行如下配置:

<HUAWEI> system-view

[HUAWEI] port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/20 // 将接口GE1/0/1~GE1/0/20加入到临时端口组,此步骤等同于执行命令interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/20

[HUAWEI-port-group]shutdown // 临时端口组视图中配置需要批量下发的命令

[HUAWEI-port-group] quit // 退出临时端口组后,系统就会自动删除这个临时端口组 .

配置永久端口组

需要将GE2/0/1~GE2/0/10共十个接口均配置为access接口,而且这些接口配置信息相对固定,均保持一致,那就可以选择永久端口组进行如下配置:

需要将GE2/0/1~GE2/0/10共十个接口均配置为access接口,而且这些接口配置信息相对固定,均保持一致,那就可以选择永久端口组进行如下配置:

<HUAWEI> system-view

[HUAWEI] port-group portgroup1 // 创建名称为portgroup1的永久端口组

[HUAWEI-port-group-portgroup1] group-member gigabitethernet2/0/1 to gigabitethernet 2/0/10

// 将接口GE2/0/1~GE2/0/10加入到永久端口组中

[HUAWEI-port-group-portgroup1] port link-type access

// 永久端口组视图中配置需要批量下发的命令

[HUAWEI-port-group-portgroup1] quit // 退出端口组视图后,名称portgroup1的永久端口组仍然存在

如何知道永久端口组中的成员接口呢?

行命令display port-group [ all | port-group-name ],就可以查看永久端口组的成员接口信息啦。

如何批量清除一个接口的所有配置。

只需要在接口视图下执行命令clear configuration this就可以一键清除接口下的配置啦。

<HUAWEI> system-view

[HUAWEI] interface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1] display this

#

interface GigabitEthernet0/0/1

description switch-A

port link-type access

#

return

[HUAWEI-GigabitEthernet0/0/1] clear configuration this // 清除接口下所有配置,恢复到缺省值

Warning: All configurations of the interface will be cleared,and its state will be shutdown. Continue? [Y/N] :y

Info: Total 2 command(s) executed, 2 successful, 0 failed.

[HUAWEI-GigabitEthernet0/0/1] display this

#

interface GigabitEthernet0/0/1

shutdown // 清除接口下所有配置后,接口将处于关闭状态

二十七、超实用的快速配置端口隔离

需求:中军大营士兵大营和辎重大营同属一个VLAN,默认都可以互相访问。现在,要求不改变网段规划和VLAN规划的情况下,实现:1) 中军大营和士兵大营不能互相访问; 2) 中军大营可以访问辎重大营,但辎重大营不能访问中军大营,且辎重大营和士兵大营始终可以互相访问。

端口隔离组:交换机的端口可以加入到特定的端口隔离组中,同一端口隔离组的端口之间互相隔离,不同端口隔离组的端口之间不隔离。因此,要完成上面的需求,配置思路其实非常简单。如下图所示,在交换机上将端口GE0/0/1和GE0/0/2加入同一个端口隔离组,GE0/0/3不加入端口隔离组或者加入另一个端口隔离组就OK了。

配置步骤如下:

<Huawei> system-view

[Huawei] sysname Switch

[Switch] interface gigabitEthernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 10

[Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端口隔离组5

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitEthernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 10

[Switch-GigabitEthernet0/0/2] port-isolate enable group 5 //端口GE0/0/2加入到端口隔离组5

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 10 //端口GE0/0/3不加入端口隔离组

[Switch-GigabitEthernet0/0/3] quit

完成配置后,端口GE0/0/1和GE0/0/2就加入同一个端口隔离组,端口GE0/0/3不加入任何端口隔离组。这样,中军大营和士兵大营就不能互相访问了,但中军大营和辎重大营、士兵大营和辎重大营仍然可以互相访问。”

执行命令display port-isolate group { group-id | all }命令就可以查看端口隔离组的配置信息啦。

单向隔离可以解决另一个问题。单向隔离,顾名思义,只在单个方向上进行信息隔离。在接口A上配置它与接口B之间单向隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。就拿你提的这个问题来说吧,要实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营,就可以使用单向隔离功能。如下图所示,在端口GE0/0/3上配置单向隔离功能,并指定隔离的端口是GE0/0/1,这样,GE0/0/3上发出的报文不能到达GE0/0/1,而GE0/0/1发出的报文可以到达GE0/0/3,从而实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。

配置步骤如下:

[Switch] interface GigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1 //在GE0/0/3上配置端口隔离功能,并指定隔离的端口是GE0/0/1

[Switch-GigabitEthernet0/0/3] quit

标签: #ensp如何查看ip地址