交換機二層埠隔離配置詳解

• 2019 年 10 月 3 日
• 筆記

ps說明：以下命令均以華為交換機為例

一、基於組的隔離

特點：基於隔離組可以最大限度的保證vlan的使用（可以使用任意VLAN）
優點：配置方便，傳輸業務無限制。
缺點：同一交換機不同隔離組間會存在干擾。
場景：訪問設備的同時向設備打流

測試場景舉例：測試時需要訪問設備反覆在設備中修改配置，同時還要打各種流帶VLAN、帶DSCP等（主要用與被操作設備僅有一個LAN口需要走不同業務-vlan且業務間無然和干擾）

配置方法：

配置埠隔離模式為二層隔離三層互通。  <Quidway> system-view  [Quidway] port-isolate mode l2    將埠Ethernet0/0/1加入隔離組group1。  <Quidway> system-view  [Quidway] interface ethernet 0/0/1  [Quidway-Ethernet0/0/1] port-isolate enable group 1  [Quidway-Ethernet0/0/1] quit    #將埠Ethernet0/0/2加入隔離組group1。  <Quidway> system-view  [Quidway] interface ethernet 0/0/2  [Quidway-Ethernet0/0/2] port-isolate enable group 1  [Quidway-Ethernet0/0/2] quit    ethernet 0/0/3 不加入隔離組

使用：將管理PC接入交換機埠1，儀錶接入交換機埠2，待測設備接入交換機埠3。

驗證：
管理PC ping設備，可以ping通。
儀錶ping設備，可以ping通。
管理PC ping儀錶，不通。

二、基於VLAN的隔離

特點：基於VLAN的隔離可以使用不同埠模式充分利用交換機埠
缺點：對帶vlan的業務敏感，需要配置不同模式處理VLAN
場景：訪問同vlan的所有設備，不會收到廣播域干擾

測試場景舉例：使用vlan劃分可以更好的利用交換機資源
配置方法：

#進入虛擬VLAN介面  interface vlanif10  #設置IP地址和掩碼  ip address 197.6.1.1 255.255.255.0  #進入埠，設置access模式並將pvid設置為10  interface Ethernet0/0/1  port link-type access  port default vlan 10  #  interface Ethernet0/0/2  port link-type access  port default vlan 10  #  interface Ethernet0/0/3  port link-type access  port default vlan 20

使用說明：
vlan 10的埠可互通，與vlan20無法通訊。
vlanif就是創建三層介面，可以在上面配置IP的，通過IP訪問設備

三、基於QinQ的隔離

特點：靈活QinQ，可以解決(一)中埠浪費的情況，可以用Qinq將交換機先劃為幾塊，然後再內部做隔離組
優點：靈活度高，隔離方便，埠利用率高，業務無限制。
缺點：版本較低的交換機不支援該功能。
場景：髮夾模式

測試場景舉例：一組設備為6台，交換機有48個口，這樣就可以用外層vlan將交換機分為8個vlan域。8個域中間業務隔離。然後再在每個域中組隔離組完成髮夾。

配置方法：

interface Ethernet0/0/3  mac-address learning disable   （關閉mac地址學習）  port link-type dot1q-tunnel    （外層標籤在dot1q隧道傳輸）  port default vlan 102          （配置外層vlan）  #  interface Ethernet0/0/4  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 102  port-isolate enable group 2  #  interface Ethernet0/0/5  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 102  port-isolate enable group 2  #  interface Ethernet0/0/6  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 102  port-isolate enable group 2  #  interface Ethernet0/0/7  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 103  #  interface Ethernet0/0/8  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 103  port-isolate enable group 3  #  interface Ethernet0/0/9  mac-address learning disable  port link-type dot1q-tunnel  port default vlan 103

通過外層VLAN將交換機埠分為不同區域，內部可以使用隔離組做髮夾模式。

驗證：驗證髮夾隔離組即可，所有設備必須通過髮夾反彈才能通訊。

附：髮夾模式的原理 https://www.cnblogs.com/xuanxuanBOSS/p/10753491.html