本實驗模擬實際工作環境的網絡拓撲結構,至此終於理解了一部分的配置思路:
一、三層交換機連接路由器的端口配置
圖中GE0/0/4應該是配置成access類型,這個時候應該是不帶vlan標簽的。在《華為交換機學習指南》,Vlan間通信一節,兩台三層交換機之間的端口配了Trunk類型。至於另一邊連接的是路由器,情況有所不同,關於vlan間通信,還需繼續學習。
二、關於OSPF的配置
(1)R1與R2之間的兩個端口應該是配置在一個網段,直連,圖中都在110.0這個網段。
(2)在配置Area 1的過程中,忽略了S5700上的三個網段,104,105,106。沒有在area 1中宣告這三個接口連接的網段,導致R1學習不到這三個接口,結果這三個網段只能通過vlan間通信ping到107.1,不能繼續往下ping到R1。
三、端口隔離
因工作實際需要,3個網絡需要互相隔離,禁止相互訪問。可將這3個端口加入端口隔離組。配置如下:
[S5700]port-isolate mode all
[S5700]int g0/0/1
[S5700-GigabitEthernet0/0/1]port-isolate enable group 10
端口g0/0/1、g0/0/1配置同上,至此,三個端口都已經加入到同一個端口隔離組中。
關於端口隔離:
以前為了實現報文之間的二、三層隔離, 是采用將不同端口加入不同VLAN 的方法實現, 這樣不但配置比較麻煩,而且浪費了有限的VLAN 資源。另外, 在同一個VLAN中各端口至少是二層互通的,也達不到完全的端口隔離的目的。采用端口隔離特性就可以實現同一VLAN 內端口之間的二層隔離,只需要將端口加入到隔離組中, 可為用戶提供更安全、更靈活的組網方案。但這種方法都僅適用於在同一交換機上不同端口間的隔離,且一個端口可以加入多個端口隔離組。
踹口隔離配置與管理
在華為S 系列交換機中, 支持”接口單向隔離”和”端口隔離組”這兩種端口隔離方法。
“接口單向隔離”是在要阻止某個本地端口發送的報文到達其他端口,而不限制其他端口的報文到達本地端口時所采用的隔離方法。如接口A 與接口B 之間單向隔離,即接口A 發送的報文不能到達接口B , 但從接口B 發送的報文可以到達接口A 。
“端口隔離組”是在要實現一組端口間相互(雙向) 二層隔離時所采用的隔離方法。同一端口隔離組的接口之間互相隔離,不同端口隔離組的接口之間不隔離。
命令:port-isolate mode { l2 I all }
(可選)全局配置端口隔離模式。命令中的選項說明如下 :
( I ) l2: 二選一選項,指定端口隔離模式為二層隔離, 三層互通。
( 2 ) all : 二選一選項, 指定端口隔離模式為二層和三層都隔離。
缺省情況下, 端口隔離模式為二層隔離、二層互通, 可用undo port-isolate mode 命令恢復端口隔離模式為缺省模式。