Cisco网络技术论坛

返回   Cisco网络技术论坛 > 网络产品区 > Extreme

发表新主题 回复
 
主题工具
旧 2013-11-08, 15:09   #1
tangdong
注册用户
级别:3 | 在线时长:26小时 | 升级还需:6小时级别:3 | 在线时长:26小时 | 升级还需:6小时级别:3 | 在线时长:26小时 | 升级还需:6小时
 
注册日期: Dec 2010
帖子: 7
现金:17金币
资产:17金币
声望力: 0
声望: 10 tangdong 向着好的方向发展
声望力: 0
tangdong 向着好的方向发展
Summit200-48,做个端口隔离太费劲了

需求是1-48口互相隔离,可以与上行口49-50通信,不能做802.1Q,想做成类似华为那种port-isolate,翻了下手册,貌似没有提到什么pvlan iso-late的概念,然后看了下ACL的貌似可以定义进出接口,然后以每一个接口从剩余的47个接口过来出去做deny,这样做47条规则就达到了1-48口的互相隔离,做完规则后,以为大功告成,拨号测试,居然678,没理由啊,然后换端口,可以拨上,然后看下规则,发现如果存在出接口的情况下,每条规则的进接口最多只能24个,1-24 25-48,不能跨段,然后拆开交换机看了下,两个一样的BCM芯片,每个分担24口,就像是两台24口交换机的芯片凑在一张电路板上组合成一个48口的一样,要是24口的话做隔离就可以


create access-mask iso_late egress-port ports precedence 5000
create access-list iso_port1 iso_late egress-port 1 ports 2-48 deny
create access-list iso_port2 iso_late egress-port 2 ports 1,3-48 deny
................
..................
create access-list iso_port48 iso_late egress-port 48 ports 1-47 deny
Summit200-48:6 # show access-list iso_port1
Access-list "iso_port1"
Access-mask: "iso_late"
MAC:
IP/mask:L4port: dest-ip=none/--:---- source-ip=none/--:----
Layer 2:
Layer 3/4:
Egress Port: 1
Ingress Ports: 2 3 4 5 6 7 8 9 10 11 12 13 14 15
16 17 18 19 20 21 22 23 24 invalid
In Profile: deny
* Summit200-48:7 #
* Summit200-48:9 # show access-list iso_port48
Access-list "iso_port48"
Access-mask: "iso_late"
MAC:
IP/mask:L4port: dest-ip=none/--:---- source-ip=none/--:----
Layer 2:
Layer 3/4:
Egress Port: 48
Ingress Ports: 25 26 27 28 29 30 31 32 33 34 35 36 37 38
39 40 41 42 43 44 45 46 47 invalid
In Profile: deny
* Summit200-48:10 #














如果是Summit200-24的机器,直接粘贴复制下面的命令做端口隔离
create access-mask iso_late egress-port ports precedence 5000
create access-list port1 iso_late egress-port 1 ports 2-24 deny
create access-list port2 iso_late egress-port 2 ports 1,3-24 deny
create access-list port3 iso_late egress-port 3 ports 1-2,4-24 deny
create access-list port4 iso_late egress-port 4 ports 1-3,5-24 deny
create access-list port5 iso_late egress-port 5 ports 1-4,6-24 deny
create access-list port6 iso_late egress-port 6 ports 1-5,7-24 deny
create access-list port7 iso_late egress-port 7 ports 1-6,8-24 deny
create access-list port8 iso_late egress-port 8 ports 1-7,9-24 deny
create access-list port9 iso_late egress-port 9 ports 1-8,10-24 deny
create access-list port10 iso_late egress-port 10 ports 1-9,11-24 deny
create access-list port11 iso_late egress-port 11 ports 1-10,12-24 deny
create access-list port12 iso_late egress-port 12 ports 1-11,13-24 deny
create access-list port13 iso_late egress-port 13 ports 1-12,14-24 deny
create access-list port14 iso_late egress-port 14 ports 1-13,15-24 deny
create access-list port15 iso_late egress-port 15 ports 1-14,16-24 deny
create access-list port16 iso_late egress-port 16 ports 1-15,17-24 deny
create access-list port17 iso_late egress-port 17 ports 1-16,18-24 deny
create access-list port18 iso_late egress-port 18 ports 1-17,19-24 deny
create access-list port19 iso_late egress-port 19 ports 1-18,20-24 deny
create access-list port20 iso_late egress-port 20 ports 1-19,21-24 deny
create access-list port21 iso_late egress-port 21 ports 1-20,22-24 deny
create access-list port22 iso_late egress-port 22 ports 1-21,24 deny
create access-list port23 iso_late egress-port 23 ports 1-22,24 deny
create access-list port24 iso_late egress-port 24 ports 1-23 deny
上传的图像
文件类型: jpg IMG_0123.JPG (203.7 KB, 3 次查看)

此帖于 2013-11-08 16:09 被 tangdong 编辑。
帅哥 tangdong 当前离线  
回复时引用此帖
旧 2013-11-08, 17:53   #2
tangdong
注册用户
级别:3 | 在线时长:26小时 | 升级还需:6小时级别:3 | 在线时长:26小时 | 升级还需:6小时级别:3 | 在线时长:26小时 | 升级还需:6小时
 
注册日期: Dec 2010
帖子: 7
现金:17金币
资产:17金币
声望力: 0
声望: 10 tangdong 向着好的方向发展
声望力: 0
tangdong 向着好的方向发展
回复: Summit200-48,做个端口隔离太费劲了

不折腾了,我这拿来做小区宽带接入的,用户全部是pppoe拨号方式,这个ACL可以做以太网二层数据包的匹配,干脆直接只允许pppoe的报文通过,其它的全部XX掉


create access-mask ppp_data ethertype precedence 1
create access-mask all_in_port ports precedence 10

create access-list pppoe_discover ppp_data ethertype 0x8863 permit
create access-list pppoe_session ppp_data ethertype 0x8864 permit
create access-list drop_all_port all_in_port ports 1-48 deny
帅哥 tangdong 当前离线  
回复时引用此帖
旧 2013-11-21, 12:31   #3
megajet-net
注册用户
级别:0 | 在线时长:0小时 | 升级还需:5小时
 
注册日期: Nov 2013
帖子: 2
现金:3金币
资产:3金币
声望力: 0
声望: 10 megajet-net 向着好的方向发展
声望力: 0
megajet-net 向着好的方向发展
回复: Summit200-48,做个端口隔离太费劲了

这个设备太老了,以前的OS不好用,现在新的XOS系统还不错,使用起来没那么麻烦
帅哥 megajet-net 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转

相似的主题
主题 主题作者 版面 回复 最后发表
怎样修改Summit200-48的任一端口的带宽值 qos rayshaw Extreme 4 2010-01-06 13:17
求助,关于楼道交换机端口隔离。 wanqiu Cisco技术 5 2008-10-26 13:08
端口隔离与端口分VLAN有区别吗 jxc55 华为、H3C 1 2008-10-13 11:11
求教vlan和端口隔离的问题。 zkcoolzk Cisco技术 4 2008-09-16 14:05
请教个端口隔离和ARP的网络问题 xlb8888 网络应用 0 2008-06-07 18:23


所有时间均为北京时间。现在的时间是 09:51


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号