本实验模拟实际工作环境的网络拓扑结构,至此终于理解了一部分的配置思路:
一、三层交换机连接路由器的端口配置
图中GE0/0/4应该是配置成access类型,这个时候应该是不带vlan标签的。在《华为交换机学习指南》,Vlan间通信一节,两台三层交换机之间的端口配了Trunk类型。至于另一边连接的是路由器,情况有所不同,关于vlan间通信,还需继续学习。
二、关于OSPF的配置
(1)R1与R2之间的两个端口应该是配置在一个网段,直连,图中都在110.0这个网段。
(2)在配置Area 1的过程中,忽略了S5700上的三个网段,104,105,106。没有在area 1中宣告这三个接口连接的网段,导致R1学习不到这三个接口,结果这三个网段只能通过vlan间通信ping到107.1,不能继续往下ping到R1。
三、端口隔离
因工作实际需要,3个网络需要互相隔离,禁止相互访问。可将这3个端口加入端口隔离组。配置如下:
[S5700]port-isolate mode all
[S5700]int g0/0/1
[S5700-GigabitEthernet0/0/1]port-isolate enable group 10
端口g0/0/1、g0/0/1配置同上,至此,三个端口都已经加入到同一个端口隔离组中。
关于端口隔离:
以前为了实现报文之间的二、三层隔离, 是采用将不同端口加入不同VLAN 的方法实现, 这样不但配置比较麻烦,而且浪费了有限的VLAN 资源。另外, 在同一个VLAN中各端口至少是二层互通的,也达不到完全的端口隔离的目的。采用端口隔离特性就可以实现同一VLAN 内端口之间的二层隔离,只需要将端口加入到隔离组中, 可为用户提供更安全、更灵活的组网方案。但这种方法都仅适用于在同一交换机上不同端口间的隔离,且一个端口可以加入多个端口隔离组。
踹口隔离配置与管理
在华为S 系列交换机中, 支持”接口单向隔离”和”端口隔离组”这两种端口隔离方法。
“接口单向隔离”是在要阻止某个本地端口发送的报文到达其他端口,而不限制其他端口的报文到达本地端口时所采用的隔离方法。如接口A 与接口B 之间单向隔离,即接口A 发送的报文不能到达接口B , 但从接口B 发送的报文可以到达接口A 。
“端口隔离组”是在要实现一组端口间相互(双向) 二层隔离时所采用的隔离方法。同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。
命令:port-isolate mode { l2 I all }
(可选)全局配置端口隔离模式。命令中的选项说明如下 :
( I ) l2: 二选一选项,指定端口隔离模式为二层隔离, 三层互通。
( 2 ) all : 二选一选项, 指定端口隔离模式为二层和三层都隔离。
缺省情况下, 端口隔离模式为二层隔离、二层互通, 可用undo port-isolate mode 命令恢复端口隔离模式为缺省模式。