| 资料编码 | 产品名称 | 中低端switch | |
| 使用对象 | 产品版本 | ||
| 编写部门 | 技术支持中心 | 资料版本 | 1.0 |
| 拟 制: | 边冬松 | 日 期: | 2003/10/10 |
| 审 核: | 日 期: | ||
| 审 核: | 日 期: | ||
| 批 准: | 日 期: | ||
修 订 记 录 | |||
| 日 期 | 修订版本 | 作 者 | 描 述 |
| 2003/10/10 | V2.0 | 边冬松 | 完成初稿 |
华 为 3Com 技 术 有 限 公 司
目 录
1 ISOLATE-USER-VLAN的引入 3
2 ISOLATE-USER-VLAN配置步骤 3
3 ISOLATE-USER-VLAN配置举例 4
4 ISOLATE-USER-VLAN使用注意事项 6
ISOLATE-USER-VLAN的使用说明
1ISOLATE-USER-VLAN的引入
在实际应用中有这样一个需求,组网图如下
图1 SOLATE-USER-VLAN组网图
SwitchA下面级联了SwitchB和SwithC,要求SwitchB、SwitchC下的各个端口互相隔离,即给每个端口划分一个VLAN,与此同时,由于上层设备SwitchA的VLAN数有限,不允许下层设备SwitchB和SwitchC将VLAN透传上来,即SwitchB和SwitchC的上行端口要设为access方式。但是在SwitchB和SwitchC上一个access端口是不能属于多个VLAN的,我们如何才能让带有不同VLAN ID的数据报文发送到同一个access 端口呢?
这时候,我们就需要使用交换机的的ISOLATE-USER-VLAN功能。通过使用ISOLATE-USER-VLAN功能,我们就能够实现将SwitchB和SwitchC下的各个端口划在不同的VLAN内,同时又都能通过上行的Access 端口发送出去。
目前,华为3Com公司开发的2008/2016/2403H/2026/3026都支持ISOLATE-USER-VLAN功能。
2ISOLATE-USER-VLAN配置步骤
配置ISOLATE-USER-VLAN的步骤如下:
1、创建VLAN,
命令如下:
[2016] vlan vlan-id
2、设置VLAN类型为isolate-user-vlan。
命令如下:
[2016-vlan100] isolate-user-vlan enable
3、向VLAN中添加端口(无论是isolate-user-vlan还是secondary vlan都一样)
命令如下:
[2016-vlan100] port ethernet port-list
4、设置isolate-user-vlan和secondary vlan之间的映射关系
命令如下:
[2016] isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
3ISOLATE-USER-VLAN配置举例
1、组网需求
Quidway S3526以太网交换机通过端口Ethernet 0/7和端口Ethernet 0/8下接两台Quidway S2008以太网交换机。S2008 A上VLAN5为isolate-user-vlan,包含上行端口Ethernet 0/9和两个secondary VLAN:VLAN1和VLAN2,VLAN1包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;S2008 B上VLAN6为isolate-user-vlan,包含上行端口Ethernet 0/9和两个secondary VLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet 0/3,VLAN4包含端口Ethernet 0/4。从S3526看,下接的两个S2008都只有一个VLAN,S2008 A的VLAN5,S2008 B的VLAN6。
2、组网图
图 ISOLATE-USER-VLAN配置组网图
3、配置步骤
下面只列出S2008的配置过程。
配置S2008 A
!配置ISOLATE-USER-VLAN。
[S2008A]vlan 5
[S2008A-vlan5] isolate-user-vlan enable
[S2008A-vlan5] port ethernet0/9
!配置secondary VLAN。
Vlan1不允许进行端口增删的操作,其它端口属于相应vlan后,剩下的端口都属于vlan1
[S2008A]vlan 2
[S2008A-vlan2]port ethernet0/2
!配置ISOLATE-USER-VLAN和secondary VLAN间的映射关系
[S2008A] isolate-user-vlan 5 secondary 1 to 2
配置S2008 B。
!配置ISOLATE-USER-VLAN。
[S2008B] vlan 6
[S2008B-vlan6] isolate-user-vlan enable
[S2008B-vlan6] port ethernet0/9
!配置secondary VLAN。
[S2008B] vlan 3
[S2008B-vlan3] port ethernet0/3
[S2008B]vlan 4
[S2008B-vlan4]port ethernet0/4
!配置ISOLATE-USER-VLAN和secondary VLAN间的映射关系
[S2008B] isolate-user-vlan 6 secondary 3 to 4
4ISOLATE-USER-VLAN使用注意事项
1、执行isolate-user-vlan和secondary vlan建立映射关系命令前,isolate-user-vlan和secondary vlan中必须已经包含了端口,执行该命令会完成isolate-user-vlan和secondary VLAN之间的映射关系,具体操作包括:将isolate-user-vlan中的上行端口加入到每个secondary VLAN中,同时把secondary VLAN中的端口加入到isolate-user-vlan中。
2、建立映射关系前:在设置ISOLATE-USER-VLAN中isolate-user-vlan和secondary VLAN的映射关系时,指定的VLAN不可以是不包含任何端口的VLAN。建立映射关系后,不可以向isolate-user-vlan VLAN和secondary VLAN执行添加和删除端口的操作,也不可以执行删除vlan的操作。只有在解除了映射关系后才可以执行。
3、目前isolate-user-vlan配置完成以后,是isolate-user-vlan和secondary vlan所包含的所有的端口属性都为hybrid。可以在端口视图下使用命令port hybrid vlan vlan_id_list { tagged | untagged }来进行vlan间的访问控制,具体使用方法可以参见相关文档。下载本文
