在两个Trunk接口上放通VLAN 10和VLAN 20的情况下,若要实现对VLAN 10进行用户二层隔离(即同VLAN内用户不能互访),而VLAN 20保持正常转发(允许二层互通),可按如下配置:
```bash
system-view
# 启用VLAN 10的用户二层隔离
user-isolation vlan 10 enable
# 允许VLAN 10的网关MAC通过(示例MAC为网关地址,需根据实际替换)
user-isolation vlan 10 permit-mac aabb-ccdd-eeff
# VLAN 20不配置隔离,保持默认转发行为
```
在两个Trunk接口(如GigabitEthernet2/0/10和对端互联口)上确保已配置:
```bash
interface GigabitEthernet2/0/10
port link-type trunk
port trunk permit vlan 1 10 20
```
> **说明**:
- `user-isolation vlan 10 enable` 实现VLAN 10内用户间的二层隔离,防止彼此访问。
- `permit-mac` 用于放行网关等必要设备的报文,避免被隔离策略阻断。
- VLAN 20未启用隔离,因此该VLAN内用户可正常二层互通。
✅ 效果:
- VLAN 10:用户间不能互访(隔离),仅可通过三层网关通信。
- VLAN 20:保持原有二层转发能力,用户可互访。
此配置适用于需提升无线网络安全性、抑制广播风暴,同时保留部分VLAN互通能力的场景。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
做包过滤吧