• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S5100-SI[EI]系列以太网交换机 操作手册-Release 220X系列(V1.05)

39-访问管理操作

本章节下载  (164.32 KB)

39-访问管理操作


1 访问管理配置

1.1  访问管理简介

通常情况下,客户端PC通过二层交换机(Switch B)连接到接入层交换机(Switch A),再通过接入层交换机的上行线路与外部网络进行通信。如图1-1所示。

图1-1 典型以太网接入组网图

 

为了满足接入层交换机对用户访问权限的控制,可在接入层交换机上配置访问管理功能。通过该功能,可以控制接入层交换机(Switch A)端口下使用不同IP地址的主机对外部网络的访问权限。

访问管理功能是指:在接入层以太网交换机的端口上,通过配置端口的访问管理IP地址池,将指定范围的IP地址与端口进行绑定。

l              如果某个端口上配置了访问管理地址池,则只允许连接到该端口的,IP地址在访问管理IP地址池内的主机与外部通信。

l              如果某个端口上未配置访问管理地址池,则只要主机IP地址不在交换机其它端口的访问管理地址池中,该主机就可以与外部通信。

需要注意的是:端口上访问管理IP地址池中的地址,必须与该端口所属VLAN的接口IP地址在同一网段。

1.2  访问管理配置

表1-1 配置访问管理功能

操作

命令

说明

进入系统视图

system-view

-

开启访问管理功能

am enable

必选

缺省情况下,访问管理功能处于关闭状态

开启访问管理告警功能

am trap enable

可选

缺省情况下,访问管理告警功能处于关闭状态

进入以太网端口视图

interface interface-type interface-number

-

配置端口的访问管理IP地址池

am ip-pool address-list

必选

缺省情况下,没有配置访问管理IP地址池

显示访问管理开启状态及IP地址池配置信息

display am [ interface-list ]

display命令可以在任意视图下执行

 

l    配置端口的访问管理地址池前,需要先配置该端口所属VLAN接口的IP地址,且端口上访问管理IP地址池中的地址,必须与该端口所属VLAN的接口IP地址在同一网段。

l    配置端口的访问管理IP地址池时,如果在此地址池内的IP地址是已配置的其它端口静态ARP表项中的IP地址,则系统将提示用户删除对应的静态ARP表项,以保证访问管理IP地址池生效。

l    如果用户只希望通过绑定端口的,IP地址在访问管理IP地址池中的主机与外部通信,则不要为地址池之外的IP地址配置静态ARP。

 

1.3  访问管理典型配置举例

1.3.1  访问管理基本配置举例

1. 组网需求

客户端PC通过以太网交换机(Switch A)与外部网络相连。属于机构1的PC的IP地址范围是202.10.20.1/24~202.10.20.20/24;PC 2的IP地址为202.10.20.100/24;PC 3的IP地址为202.10.20.101/24。

l              允许机构1中的PC通过Switch A的属于VLAN1的端口GigabitEthernet1/0/1接入外部网络,Vlan-interface1的IP地址为202.10.20.200/24;

l              不允许非机构1中的PC(如PC 2、PC 3)通过Switch A的端口GigabitEthernet1/0/1接入外部网络。

2. 组网图

图1-2 访问管理组网示意图

 

3. 配置步骤

以下所有配置请在Switch A上进行。

# 开启访问管理功能。

<Sysname> system-view

[Sysname] am enable

# 配置Vlan-interface1接口的IP地址为202.10.20.200/24。

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.10.20.200 24

[Sysname-Vlan-interface1] quit

# 配置端口GigabitEthernet1/0/1上的访问管理IP地址池。

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] am ip-pool 202.10.20.1 20

1.3.2  访问管理与端口隔离组合配置举例

1. 组网需求

客户端PC通过以太网交换机(Switch A)与外部网络相连。IP地址范围是202.10.20.1/24~202.10.20.20/24的PC属于机构1;IP地址范围是202.10.20.25/24~202.10.20.50/24或202.10.20.55/24~202.10.20.65/24的PC属于机构2。

l              允许机构1中的PC通过Switch A的端口GigabitEthernet1/0/1接入外部网络;

l              允许机构2中的PC通过Switch A的端口GigabitEthernet1/0/2接入外部网络;

l              端口GigabitEthernet1/0/1和端口GigabitEthernet1/0/2均属于VLAN1,且Vlan-interface1的IP地址为202.10.20.200/24;

l              机构1和机构2的PC之间二层隔离。

2. 组网图

图1-3 访问管理与端口隔离组网示意图

 

3. 配置步骤

以下所有配置请在Switch A上进行。

关于端口隔离的具体原理和配置请参考“端口隔离”模块。

# 进入系统视图。

<Sysname> system-view

# 开启访问管理功能。

[Sysname] am enable

# 配置Vlan-interface1接口的IP地址为202.10.20.200/24。

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.10.20.200 24

[Sysname-Vlan-interface1] quit

# 配置端口GigabitEthernet1/0/1上的访问管理IP地址池。

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] am ip-pool 202.10.20.1 20

# 将端口GigabitEthernet1/0/1加入隔离组。

[Sysname-GigabitEthernet1/0/1] port isolate

[Sysname-GigabitEthernet1/0/1] quit

# 配置端口GigabitEthernet1/0/2上的访问管理IP地址池。

[Sysname] interface GigabitEthernet 1/0/2

[Sysname-GigabitEthernet1/0/2] am ip-pool 202.10.20.25 26 202.10.20.55 11

# 将端口GigabitEthernet1/0/2加入隔离组。

[Sysname-GigabitEthernet1/0/2] port isolate

[Sysname-GigabitEthernet1/0/2] quit

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们