OSPF与Vlan间通信综合实验小结与端口隔离

 

总结

本实验模拟实际工作环境的网络拓扑结构，至此终于理解了一部分的配置思路：

一、三层交换机连接路由器的端口配置

图中GE0/0/4应该是配置成access类型，这个时候应该是不带vlan标签的。在《华为交换机学习指南》，Vlan间通信一节，两台三层交换机之间的端口配了Trunk类型。至于另一边连接的是路由器，情况有所不同，关于vlan间通信，还需继续学习。

二、关于OSPF的配置

（1）R1与R2之间的两个端口应该是配置在一个网段，直连，图中都在110.0这个网段。

（2）在配置Area 1的过程中，忽略了S5700上的三个网段，104,105,106。没有在area 1中宣告这三个接口连接的网段，导致R1学习不到这三个接口，结果这三个网段只能通过vlan间通信ping到107.1，不能继续往下ping到R1。

三、端口隔离

因工作实际需要，3个网络需要互相隔离，禁止相互访问。可将这3个端口加入端口隔离组。配置如下：

[S5700]port-isolate mode all

[S5700]int g0/0/1

[S5700-GigabitEthernet0/0/1]port-isolate enable group 10

端口g0/0/1、g0/0/1配置同上，至此，三个端口都已经加入到同一个端口隔离组中。

关于端口隔离：

以前为了实现报文之间的二、三层隔离， 是采用将不同端口加入不同VLAN 的方法实现， 这样不但配置比较麻烦，而且浪费了有限的VLAN 资源。另外， 在同一个VLAN中各端口至少是二层互通的，也达不到完全的端口隔离的目的。采用端口隔离特性就可以实现同一VLAN 内端口之间的二层隔离，只需要将端口加入到隔离组中， 可为用户提供更安全、更灵活的组网方案。但这种方法都仅适用于在同一交换机上不同端口间的隔离，且一个端口可以加入多个端口隔离组。
踹口隔离配置与管理
在华为S 系列交换机中， 支持”接口单向隔离”和”端口隔离组”这两种端口隔离方法。

“接口单向隔离”是在要阻止某个本地端口发送的报文到达其他端口，而不限制其他端口的报文到达本地端口时所采用的隔离方法。如接口A 与接口B 之间单向隔离，即接口A 发送的报文不能到达接口B ， 但从接口B 发送的报文可以到达接口A 。

“端口隔离组”是在要实现一组端口间相互(双向) 二层隔离时所采用的隔离方法。同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。

命令：port-isolate mode { l2 I all }

(可选）全局配置端口隔离模式。命令中的选项说明如下 :
( I ) l2: 二选一选项，指定端口隔离模式为二层隔离， 三层互通。
( 2 ) all : 二选一选项， 指定端口隔离模式为二层和三层都隔离。
缺省情况下， 端口隔离模式为二层隔离、二层互通， 可用undo port-isolate mode 命令恢复端口隔离模式为缺省模式。