分类:
2012-02-07 20:59:06
在上节就提到了,配置Isolate-user-VLAN时需要在本端设备上配置“配置同步”和“MAC地址同步”。本节先介绍Isolate-user-VLAN的配置同步。配置Isolate-user-VLAN功能后,系统会自动对同时包含Isolate-user-VLAN和Secondary VLAN的端口进行如下配置同步:
l 对于上行端口,会自动将端口类型修改为Hybrid,并允许来自Secondary VLAN的报文以不打VLAN标记方式通过(相当于自动将这个上行Hybrid端口加入到了所有Secondary VLAN中)。而上行设备的入端口(就是与这个上行Hybrid端口相连的对端设备端口)已通过手动配置将端口的默认VLAN值设置为Isolate-user-VLAN ID,根据Hybird端口发送报文规则可知,在上行设备收到这样的不带VLAN标记的报文后,均认为这些报文来自Isolate-user-VLAN,并给它们打上Isolate-user-VLAN ID的VLAN标记,从而屏蔽了Secondary VLAN信息。
l 对于下行端口,也会自动将端口类型修改为Hybrid,并允许来自Isolate-user-VLAN的报文以不打VLAN标记方式通过(相当于自动将这些下行Hybrid端口加入到了Isolate-user-VLAN中)。
在如图20-3所示的网络中,端口默认都为Access端口,交换机的Ethernet1/2端口属于VLAN 2,Ethernet1/3端口属于VLAN 3,Ethernet1/5端口属于VLAN 5,它们的相关属性如表20-1所示。然后配置VLAN 5为Isolate-user-VLAN,VLAN 2、VLAN 3均为Secondary VLAN。配置同步后,端口的相关属性改变了,如表20-2所示。
图20-3 Isolate-user-VLAN配置同步示意图
表20-1 配置同步前端口的相关属性
端口 |
类型 |
端口默认VLAN |
允许通过的VLAN |
Eth1/5 |
Access |
5 |
只允许VLAN 5的报文通过 |
Eth1/2 |
Access |
2 |
只允许VLAN 2的报文通过 |
Eth1/3 |
Access |
3 |
只允许VLAN 3的报文通过 |
配置同步后端口的相关属性
端口 |
类型 |
端口默认VLAN |
Isolate-user-VLAN角色 |
允许通过的VLAN |
Eth1/5 |
Hybrid |
5 |
Isolate-user-VLAN |
允许VLAN 2、VLAN 3、VLAN 5的报文以untagged方式通过 |
Eth1/2 |
Hybrid |
2 |
Secondary VLAN |
允许VLAN 2、VLAN 5的报文以untagged方式通过 |
Eth1/3 |
Hybrid |
3 |
Secondary VLAN |
允许VLAN 3、VLAN 5的报文以untagged方式通过 |
通过以上的分析可以得出,图20-3所示的示例中,在配置好Isolate-user-VLAN方案后,在VLAN 5的端口成员包括了Isolate-user-VLAN以及它所映射的Secondary VLAN 2和Secondary VLAN 3中的所有端口,即Ethernet1/2、Ethernet1/3和Ethernet1/5这三个端口;Secondary VLAN 2中的端口成员包括Ethernet1/2和Ethernet1/5这两个端口;Secondary VLAN 3中的端口成员包括Ethernet1/3和Ethernet1/5这两个端口。而且这些端口均自动配置成了Hybird类型,以不带VLAN标记方式发送报文,这些都无须手动配置,可以通过display isolate-user-vlan命令查看相应Isolate-user-VLAN配置得到验证。这些将在本章后面介绍的具体的Isolate-user-VLAN配置示例中得到体现。