1 ISOLATE-USER-VLAN的引入
在實際應用中有這樣一個需求,組網圖如下
圖 1 SOLATE-USER-VLAN 組網圖
SwitchA 下面級聯了 SwitchB 和 SwithC ,要求 SwitchB 、 SwitchC 下的各個端口互相隔離,即給每個端口劃分一個 VLAN ,與此同時,由於上層設備 SwitchA 的 VLAN 數有限,不允許下層設備 SwitchB 和 SwitchC 將 VLAN 透傳上來,即 SwitchB 和 SwitchC 的上行端口要設爲 access 方式。但是在 SwitchB 和 SwitchC 上一個 access 端口是不能屬於多個 VLAN 的,我們如何才能讓帶有不同 VLAN ID 的數據報文發送到同一個 access 端口呢?
這時候,我們就需要使用交換機的的 ISOLATE-USER-VLAN 功能。通過使用 ISOLATE-USER-VLAN 功能,我們就能夠實現將 SwitchB 和 SwitchC 下的各個端口劃在不同的 VLAN 內,同時又都能通過上行的 Access 端口發送出去。
目前,華爲 3Com 公司開發的 2008/2016/2403H/2026/3026 都支持 ISOLATE-USER-VLAN 功能。
2 ISOLATE-USER-VLAN配置步驟
配置 ISOLATE-USER-VLAN 的步驟如下:
1 、創建 VLAN ,
命令如下:
[2016] vlan vlan-id
2 、設置 VLAN 類型爲 isolate-user-vlan 。
命令如下:
[2016-vlan100] isolate-user-vlan enable
3 、向 VLAN 中添加端口(無論是 isolate-user-vlan 還是 secondary vlan 都一樣)
命令如下:
[2016-vlan100] port ethernet port-list
4 、設置 isolate-user-vlan 和 secondary vlan 之間的映射關係
命令如下:
[2016] isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
3 ISOLATE-USER-VLAN 配置舉例
1 、組網需求
Quidway S3526 以太網交換機通過端口 Ethernet 0/7 和端口 Ethernet 0/8 下接兩臺 Quidway S2008 以太網交換機。 S2008 A 上 VLAN5 爲 isolate-user-vlan ,包含上行端口 Ethernet 0/9 和兩個 secondary VLAN : VLAN1 和 VLAN2 , VLAN1 包含端口 Ethernet 0/1 , VLAN2 包含端口 Ethernet 0/2 ; S2008 B 上 VLAN6 爲 isolate-user-vlan ,包含上行端口 Ethernet 0/9 和兩個 secondary VLAN : VLAN3 和 VLAN4 , VLAN3 包含端口 Ethernet 0/3 , VLAN4 包含端口 Ethernet 0/4 。從 S3526 看,下接的兩個 S2008 都只有一個 VLAN , S2008 A 的 VLAN5 , S2008 B 的 VLAN6 。
2 、組網圖
圖 ISOLATE-USER-VLAN 配置組網圖
3 、配置步驟
下面只列出 S2008 的配置過程。
配置 S2008 A
!配置 ISOLATE-USER-VLAN 。
[S2008A]vlan 5
[S2008A-vlan5] isolate-user-vlan enable
[S2008A-vlan5] port ethernet0/9
!配置 secondary VLAN 。
Vlan1 不允許進行端口增刪的操作,其它端口屬於相應 vlan 後,剩下的端口都屬於 vlan1
[S2008A]vlan 2
[S2008A-vlan2]port ethernet0/2
!配置 ISOLATE-USER-VLAN 和 secondary VLAN 間的映射關係
[S2008A] isolate-user-vlan 5 secondary 1 to 2
配置 S2008 B 。
!配置 ISOLATE-USER-VLAN 。
[S2008B] vlan 6
[S2008B-vlan6] isolate-user-vlan enable
[S2008B-vlan6] port ethernet0/9
!配置 secondary VLAN 。
[S2008B] vlan 3
[S2008B-vlan3] port ethernet0/3
[S2008B]vlan 4
[S2008B-vlan4]port ethernet0/4
!配置 ISOLATE-USER-VLAN 和 secondary VLAN 間的映射關係
[S2008B] isolate-user-vlan 6 secondary 3 to 4
4 ISOLATE-USER-VLAN使用注意事項
1 、執行 isolate-user-vlan 和 secondary vlan 建立映射關係命令前, isolate-user-vlan 和 secondary vlan 中必須已經包含了端口,執行該命令會完成 isolate-user-vlan 和 secondary VLAN 之間的映射關係,具體操作包括:將 isolate-user-vlan 中的上行端口加入到每個 secondary VLAN 中,同時把 secondary VLAN 中的端口加入到 isolate-user-vlan 中。
2 、建立映射關係前:在設置 ISOLATE-USER-VLAN 中 isolate-user-vlan 和 secondary VLAN 的映射關係時,指定的 VLAN 不可以是不包含任何端口的 VLAN 。建立映射關係後,不可以向 isolate-user-vlan VLAN 和 secondary VLAN 執行添加和刪除端口的操作,也不可以執行刪除 vlan 的操作。只有在解除了映射關係後纔可以執行。
3 、 目前 isolate-user-vlan 配置完成以後,是 isolate-user-vlan 和 secondary vlan 所包含的所有的端口屬性都爲 hybrid 。可以在端口視圖下使用命令 port hybrid vlan vlan_id_list { tagged | untagged } 來進行 vlan 間的訪問控制,具體使用方法可以參見相關文檔。