分类:
2012-02-07 21:01:19
Secondary VLAN是与Isolate-user-VLAN有映射关系的客户自己的VLAN。在配置Isolate-user-VLAN方案时肯定也要先指定哪些VLAN将作为Secondary VLAN,一方面可以实现同一Secondary VLAN内的各端口间的二层隔离,另一方面Secondary VLAN中的成员可以实现通过服务商分配的Isolate-user-VLAN与服务商网络通信。相当于NAT的功能,在与服务商网络通信时把客户自己的Secondary VLAN(相当于内部VLAN)转换成服务商的Isolate-user-VLAN(相当于外部VLAN)。
Secondary VLAN的配置步骤与其他普通VLAN的配置差不多,无非就是多了一个实现同一Secondary VLAN内各端口间二层隔离的功能,具体如表20-6所示。
表20-6 Secondary VLAN的配置步骤
|
步骤 |
命令 |
用途说明 |
|
1 |
system-view 例如: |
进入系统视图 |
|
2 |
vlan { vlan-id1 [ to vlan-id2 ] | all } 例如:[sysname] vlan 10 |
创建Secondary VLAN,可以通过指定{ vlan-id1 [ to vlan-id2 ] | all }参数或选项一定次创建多个VLAN,或者创建全部的4094个VLAN。但要注意,这里所创建的VLAN的VLAN ID一定不能与上节创建的Isolate-user-VLAN的VLAN ID一样,因为Isolate-user-VLAN有双重特性,一方面可看成是客户内部网络自己的VLAN,另一方面它又是服务分配的,具有公共属性的VLAN |
|
3 |
isolated-vlan enable 例如:[sysname-vlan10] isolated-vlan enable |
(可选)启用隔离功能,把Isolate-user-VLAN中的同一Secondary VLAN中的各端口二层隔离(如果不开启这项功能,同一VLAN内的端口是二层互通的)。默认情况下,同一Secondary VLAN内的端口能够二层互通,可以用undo isolated-vlan enable命令恢复默认情况。注意,启用隔离功能后,Isolate-user-VLAN内各端口是不会二层隔离的。另外,Isolate-user-VLAN和Secondary VLAN建立映射关系后该命令才会生效 |
|
续表 | ||
|
步骤 |
命令 |
用途说明 |
|
4 |
quit 例如:[Sysname-vlan10] quit |
退回系统视图 |
|
5 |
为Secondary VLAN添加Access端口或者Hybrid端口(不能为Trunk端口),并确保至少有一个端口的默认VLAN为Secondary VLAN。具体的添加方法参见19.3节的相关内容 | |
|
6 |
port isolate-user-vlan host 例如:[Sysname-GigabitEthernet2/0/1]port |
(可选)配置Secondary VLAN中各端口的Isolate-user-VLAN类型为host(下行端口)。默认情况下,没有配置端口的Isolate-user-VLAN类型,可以用undo port isolate-user-vlan命令恢复为默认情况。此命令仅S5500和S7500E系列支持,S7500系列不支持 |
|
|
quit 例如:[Sysname- GigabitEthernet2/0/1] quit |
退回系统视图 |
|
|
interface vlan-interface vlan-interface-id [Sysname] interface vlan-interface 10 |
为以上Secondary VLAN创建VLAN接口,并进入Secondary VLAN接口视图。参数vlan-interface-id的值必须等于所创建的Secondary VLAN的VLAN ID。此步如果Isolate-user-VLAN作为二层应用时,则可选;如果Isolate-user-VLAN是作为三层应用(如需要访问外部网络或者与其他Secondary VLAN进行三层通信)时,则必选 |
【示例1】设置Secondary VLAN 4内各端口二层互相隔离。
[Sysname] vlan 2
[Sysname-vlan2] isolate-user-vlan enable !--指定VLAN 2为isolate-user-vlan
[Sysname-vlan2] port gigabitethernet 1/0/2
[Sysname-vlan2] vlan 3
[Sysname-vlan3] port gigabitethernet 1/0/3
[Sysname-vlan3] vlan 4
[Sysname-vlan4] port gigabitethernet 1/0/4
[Sysname-vlan4] quit
[Sysname] isolate-user-vlan 2 secondary 3 to 4 !--映射Isolate-user-VLAN 2与Secondary VLAN 3和Secondary VLAN 4
[Sysname] vlan 4
[Sysname-vlan4] isolate-vlan enable !--隔离Secondary VLAN 4中各端口的二层通信
【示例2】将端口GigabitEthernet1/0/1(Access类型)的Isolate-user-VLAN类型配置为host。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port isolate-user-vlan host
