ps 说明: 以下命令均以华为交换机为例
一, 基于组的隔离
特点: 基于隔离组可以最大限度的保证 vlan 的使用(可以使用任意 VLAN)
优点: 配置方便, 传输业务无限制.
缺点: 同一交换机不同隔离组间会存在干扰.
场景: 访问设备的同时向设备打流
测试场景举例: 测试时需要访问设备反复在设备中修改配置, 同时还要打各种流带 VLAN, 带 DSCP 等(主要用与被操作设备仅有一个 LAN 口需要走不同业务 - vlan 且业务间无然和干扰)
配置方法:
配置端口隔离模式为二层隔离三层互通.
- <Quidway>
- system-view [Quidway] port-isolate mode l2
将端口 Ethernet0/0/1 加入隔离组 group1.
- <Quidway>
- system-view [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1]
- port-isolate enable group 1 [Quidway-Ethernet0/0/1] quit # 将端口 Ethernet0/0/2
- 加入隔离组 group1.
- <Quidway>
- system-view [Quidway] interface ethernet 0/0/2 [Quidway-Ethernet0/0/2]
- port-isolate enable group 1 [Quidway-Ethernet0/0/2] quit
ethernet 0/0/3 不加入隔离组
使用: 将管理 PC 接入交换机端口 1, 仪表接入交换机端口 2, 待测设备接入交换机端口 3.
验证:
管理 PC ping 设备, 可以 ping 通.
仪表 ping 设备, 可以 ping 通.
管理 PC ping 仪表, 不通.
二, 基于 VLAN 的隔离
特点: 基于 VLAN 的隔离可以使用不同端口模式充分利用交换机端口
缺点: 对带 vlan 的业务敏感, 需要配置不同模式处理 VLAN
场景: 访问同 vlan 的所有设备, 不会收到广播域干扰
测试场景举例: 使用 vlan 划分可以更好的利用交换机资源
配置方法:
- # 进入虚拟 VLAN 接口
- interface vlanif10
- # 设置 IP 地址和掩码
- ip address 197.6.1.1 255.255.255.0
- # 进入端口, 设置 access 模式并将 pvid 设置为 10
- interface Ethernet0/0/1
- port link-type access
- port default vlan 10
- #
- interface Ethernet0/0/2
- port link-type access
- port default vlan 10
- #
- interface Ethernet0/0/3
- port link-type access
- port default vlan 20
使用说明:
vlan 10 的端口可互通, 与 vlan20 无法通信.
vlanif 就是创建三层接口, 可以在上面配置 IP 的, 通过 IP 访问设备
三, 基于 QinQ 的隔离
特点: 灵活 QinQ, 可以解决 (一) 中端口浪费的情况, 可以用 Qinq 将交换机先划为几块, 然后再内部做隔离组
优点: 灵活度高, 隔离方便, 端口利用率高, 业务无限制.
缺点: 版本较低的交换机不支持该功能.
场景: 发夹模式
测试场景举例: 一组设备为 6 台, 交换机有 48 个口, 这样就可以用外层 vlan 将交换机分为 8 个 vlan 域. 8 个域中间业务隔离. 然后再在每个域中组隔离组完成发夹.
配置方法:
- interface Ethernet0/0/3
- Mac-address learning disable (关闭 Mac 地址学习)
- port link-type dot1q-tunnel (外层标签在 dot1q 隧道传输)
- port default vlan 102 (配置外层 vlan)
- #
- interface Ethernet0/0/4
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 102
- port-isolate enable group 2
- #
- interface Ethernet0/0/5
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 102
- port-isolate enable group 2
- #
- interface Ethernet0/0/6
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 102
- port-isolate enable group 2
- #
- interface Ethernet0/0/7
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 103
- #
- interface Ethernet0/0/8
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 103
- port-isolate enable group 3
- #
- interface Ethernet0/0/9
- Mac-address learning disable
- port link-type dot1q-tunnel
- port default vlan 103
通过外层 VLAN 将交换机端口分为不同区域, 内部可以使用隔离组做发夹模式.
验证: 验证发夹隔离组即可, 所有设备必须通过发夹反弹才能通信.
附: 发夹模式的原理 https://www.cnblogs.com/xuanxuanBOSS/p/10753491.html
来源: https://www.cnblogs.com/xuanxuanBOSS/p/11428527.html