转载我注明
http://www.computernews.com.cn/Article/2004-10-15/11696.html
1 ISOLATE-USER-VLAN的引入
在实际应用中有这样一个需求,组网图如下
图 1 SOLATE-USER-VLAN 组网图
SwitchA 下面级联了 SwitchB 和 SwithC ,要求 SwitchB 、 SwitchC 下的各个端口互相隔离,即给每个端口划分一个 VLAN ,与此同时,由于上层设备 SwitchA 的 VLAN 数有限,不允许下层设备 SwitchB 和 SwitchC 将 VLAN 透传上来,即 SwitchB 和 SwitchC 的上行端口要设为 access 方式。但是在 SwitchB 和 SwitchC 上一个 access 端口是不能属于多个 VLAN 的,我们如何才能让带有不同 VLAN ID 的数据报文发送到同一个 access 端口呢?
这时候,我们就需要使用交换机的的 ISOLATE-USER-VLAN 功能。通过使用 ISOLATE-USER-VLAN 功能,我们就能够实现将 SwitchB 和 SwitchC 下的各个端口划在不同的 VLAN 内,同时又都能通过上行的 Access 端口发送出去。
目前,华为 3Com 公司开发的 2008/2016/2403H/2026/3026 都支持 ISOLATE-USER-VLAN 功能。
2 ISOLATE-USER-VLAN配置步骤
配置 ISOLATE-USER-VLAN 的步骤如下:
1 、创建 VLAN ,
命令如下:
[2016] vlan vlan-id
2 、设置 VLAN 类型为 isolate-user-vlan 。
命令如下:
[2016-vlan100] isolate-user-vlan enable
3 、向 VLAN 中添加端口(无论是 isolate-user-vlan 还是 secondary vlan 都一样)
命令如下:
[2016-vlan100] port ethernet port-list
4 、设置 isolate-user-vlan 和 secondary vlan 之间的映射关系
命令如下:
[2016] isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
3 ISOLATE-USER-VLAN 配置举例
1 、组网需求
Quidway S3526 以太网交换机通过端口 Ethernet 0/7 和端口 Ethernet 0/8 下接两台 Quidway S2008 以太网交换机。 S2008 A 上 VLAN5 为 isolate-user-vlan ,包含上行端口 Ethernet 0/9 和两个 secondary VLAN : VLAN1 和 VLAN2 , VLAN1 包含端口 Ethernet 0/1 , VLAN2 包含端口 Ethernet 0/2 ; S2008 B 上 VLAN6 为 isolate-user-vlan ,包含上行端口 Ethernet 0/9 和两个 secondary VLAN : VLAN3 和 VLAN4 , VLAN3 包含端口 Ethernet 0/3 , VLAN4 包含端口 Ethernet 0/4 。从 S3526 看,下接的两个 S2008 都只有一个 VLAN , S2008 A 的 VLAN5 , S2008 B 的 VLAN6 。
2 、组网图
图 ISOLATE-USER-VLAN 配置组网图
3 、配置步骤
下面只列出 S2008 的配置过程。
配置 S2008 A
!配置 ISOLATE-USER-VLAN 。
[S2008A]vlan 5
[S2008A-vlan5] isolate-user-vlan enable
[S2008A-vlan5] port ethernet0/9
!配置 secondary VLAN 。
Vlan1 不允许进行端口增删的操作,其它端口属于相应 vlan 后,剩下的端口都属于 vlan1
[S2008A]vlan 2
[S2008A-vlan2]port ethernet0/2
!配置 ISOLATE-USER-VLAN 和 secondary VLAN 间的映射关系
[S2008A] isolate-user-vlan 5 secondary 1 to 2
配置 S2008 B 。
!配置 ISOLATE-USER-VLAN 。
[S2008B] vlan 6
[S2008B-vlan6] isolate-user-vlan enable
[S2008B-vlan6] port ethernet0/9
!配置 secondary VLAN 。
[S2008B] vlan 3
[S2008B-vlan3] port ethernet0/3
[S2008B]vlan 4
[S2008B-vlan4]port ethernet0/4
!配置 ISOLATE-USER-VLAN 和 secondary VLAN 间的映射关系
[S2008B] isolate-user-vlan 6 secondary 3 to 4
4 ISOLATE-USER-VLAN使用注意事项
1 、执行 isolate-user-vlan 和 secondary vlan 建立映射关系命令前, isolate-user-vlan 和 secondary vlan 中必须已经包含了端口,执行该命令会完成 isolate-user-vlan 和 secondary VLAN 之间的映射关系,具体操作包括:将 isolate-user-vlan 中的上行端口加入到每个 secondary VLAN 中,同时把 secondary VLAN 中的端口加入到 isolate-user-vlan 中。
2 、建立映射关系前:在设置 ISOLATE-USER-VLAN 中 isolate-user-vlan 和 secondary VLAN 的映射关系时,指定的 VLAN 不可以是不包含任何端口的 VLAN 。建立映射关系后,不可以向 isolate-user-vlan VLAN 和 secondary VLAN 执行添加和删除端口的操作,也不可以执行删除 vlan 的操作。只有在解除了映射关系后才可以执行。
3 、 目前 isolate-user-vlan 配置完成以后,是 isolate-user-vlan 和 secondary vlan 所包含的所有的端口属性都为 hybrid 。可以在端口视图下使用命令 port hybrid vlanvlan_id_list { tagged | untagged } 来进行 vlan 间的访问控制,具体使用方法可以参见相关文档。