Super Vlan和端口隔离
Super Vlan:超级Vlan 作用:实现二层网络隔离,使用超级Vlan可将多个Vlan使用相同IP网段和网关地址,节约IP地址
需求:配置Super Vlan,使不同VLAN的ip在同一网段,且网关地址相同
网络拓扑图如下:Vlan 10和Vlan 20做二层隔离,使用相同网段和网关地址
SW1配置:
<Huawei>system-view #进入系统视图 [Huawei]sysname SW1 #命名为SW1 [SW1]undo info-center enable #关闭信息中心 [SW1]vlan batch 10 20 30 #创建VLAN 10 20 30 [SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2 #创建端口组 [SW1-port-group]port link-type access #端口类型为access [SW1-port-group]port default vlan 10 #划分至VLAN 10 [SW1-port-group]quit #退出 [SW1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4 #创建端口组 [SW1-port-group]port link-type access #端口类型为access [SW1-port-group]port default vlan 20 #划分至VLAN 20 [SW1-port-group]quit #退出 [SW1]vlan 30 #进入VLAN 30 [SW1-vlan30]aggregate-vlan #将VLAN 30配置为超级VLAN [SW1-vlan30]access-vlan 10 20 #将VLAN 10和VLAN 20设置为子vlan [SW1-vlan30]quit #退出 [SW1]interface Vlanif 30 #进入Vlan 30管理接口 [SW1-Vlanif30]ip address 192.168.1.1 24 #配置Vlan 10和Vlan 20的网关地址
查看Vlan:display vlan
端口隔离:加入相同隔离组的端口后不能互访
需求:所有接口都在vlan 10中,都属于1.1.1.0/24网段,外包代维人员不能直接访问服务器,需通过堡垒机中转后连接服务器
正式工作人员和堡垒机可以直接访问服务器
SW1配置:
<Huawei>system-view #进入系统视图 [Huawei]undo info-center enable #关闭信息中心 [Huawei]sysname SW1 #命名为SW1 [SW1]vlan 10 #创建vlan 10 [SW1-vlan10]quit #退出 [SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4 #创建端口组 [SW1-port-group]port link-type access #端口类型为access [SW1-port-group]port default vlan 10 #划分至vlan 10 [SW1-port-group]quit #退出 [SW1]interface GigabitEthernet 0/0/1 #进入G0/0/1口 [SW1-GigabitEthernet0/0/1]port-isolate enable group 1 #设为隔离端口并加入组1 [SW1-GigabitEthernet0/0/1]inter gig0/0/3 #进入G0/0/3 [SW1-GigabitEthernet0/0/3]port-isolate enable group 1 #设为隔离端口并加入组1