华为交换机端口隔离配置(华为)

端口隔离：

端口隔离是为了实现报文之 间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要 将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前有些设备只支持一个隔离组（以下简称单隔离组），由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。有些设备支持多个隔离组（以下简称多隔离组），用户可以手工配置。不同设备支持的隔离组数不同，请以设备实际情况为准。

缺点：

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

如下图: 要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

端口隔离拓扑图

采用如下的思路配置端口隔离：

配置PC1和PC2相连端口的端口隔离功能，使PC1与PC2不能互相访问。

数据准备

为完成此配置例，需准备如下的数据：

Switch与PC1之间连接的端口号。

Switch与PC2之间连接的端口号。

配置Switch的端口隔离模式为二层隔离三层互通（此配置为缺省配置）。

配置连接PC1、PC2、PC3的端口属于同一VLAN（缺省情况下属于VLAN1）。

配置连接PC1、PC2的端口属于同一隔离组（缺省情况下属于隔离组1）。

操作步骤

首先测试可以ping通

端口隔离ping

配置端口隔离功能

配置端口隔离模式为二层隔离三层互通。

system-view #进入系统视图

[Huawei]sysname ITCHENYI-SW1 #你肯定知道这是在修改名字

[ITCHENYI-SW1]port-isolate mode l2 #配置端口隔离模式为二层隔离三层互通。 配置GigabitEthernet 0/0/1的端口隔离功能。

[ITCHENYI-SW1]interface GigabitEthernet 0/0/1 #进入相应接口

[ITCHENYI-SW1-GigabitEthernet0/0/1]port-isolate enable #启用端口隔离 [ITCHENYI-SW1-GigabitEthernet0/0/1]quit #退出

配置GigabitEthernet 0/0/10的端口隔离功能。 Python

1 [ITCHENYI-SW1]interface GigabitEthernet 0/0/10 2 [ITCHENYI-SW1-GigabitEthernet0/0/10]port-isolate enable 3 [ITCHENYI-SW1-GigabitEthernet0/0/10]quit

验证配置结果

PC1和PC2不能互相ping通。

PC1和PC3可以互相ping通。

PC2和PC3可以互相ping通。

端口隔离ping