文章目录

一、端口隔离技术概述二、端口隔离技术运行原理三、端口隔离实例配置配置四、效果检测五、端口配置命令

一、端口隔离技术概述

一般在以太网交换网络中为了隔绝广播域通常使用不同的vlan进行报文之间的二层隔离，但是网络随着网络规模不断扩大，业务种类也是百花齐放，我们如果还是使用之前的传统vlan那么会使用大量的vlan id并且运维工作也是十分繁重，为了满足种类如此繁多的需求，产生了端口隔离技术，提供更灵活快捷的组网方式。

二、端口隔离技术运行原理

端口隔离技术主要就是可以对·同一个vlan内的用户进行二层数据进行隔离，端口隔离还可以配置同一个隔离组内端口之间是否相互隔离（缺省）,也可以选择单项隔离，在隔离类型的基础上还可以进行设置是二层隔离三层互通（缺省）或者二层三层都隔离。

注：在配置二层隔离三层互通隔离模式的时候，需要在vlanif接口上使能vlan内的Proxy ARP/ARP代理功能，这样才可以通过代理人进行vlan内通信。

使能Proxy ARP/ARP代码：

#内部子vlan代理arp-proxy inner-sub-vlan-proxy enable

三、端口隔离实例配置配置

实验需求：

1.PC1 PC2之间不可以通过二层vlan进行通信

2.PC4可以和PC1 PC2进行通信

需求分析：

PC1 PC2之间不可以通过vlan进行通信这就是使二者放入同一个隔离组然后隔离模式设置L2就可以，有了前面的铺垫，PC4什么都不需要做就可以完成需求。

实验步骤:

老规矩先配置二层，在实现需求。

LSW1

#lsw1vlan b 10int e 0/0/1p l ap d v 10int e 0/0/2p l ap d v 10int e 0/0/3p l ap d v 10int g 0/0/1p l tp t a v 10

LSW2

interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10

至此二层配置完毕！

我们把PC1 PC2加入同一个隔离组10

LSW1

#interface Ethernet0/0/1port link-type accessport default vlan 10port-isolate enable group 1port-isolate enable group 10#interface Ethernet0/0/2port link-type accessport default vlan 10port-isolate enable group 1port-isolate enable group 10#interface Ethernet0/0/3port link-type accessport default vlan 10

我们必须在三层设备上把vlan划分进端口开启ARP代理!！！并添加网关地址。

LSW2

#interface Vlanif10ip address 192.168.1.254 255.255.255.0arp-proxy inner-sub-vlan-proxy enable

所有配置已完成

四、效果检测

检测PC1和PC2是否通过三层进行通信

检测PC4是否可以和PC 1PC2进行通信

五、端口配置命令

1.使能端口隔离功能

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

2.（可选）配置端口隔离模式

#缺省情况下，端口隔离模式为L2。#L2 端口隔离模式为二层隔离三层互通。#all 端口隔离模式为二层三层都隔离。[Huawei] port-isolate mode {l2 | all }

3.配置端口单向隔离

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

4.查询删除命令

display port-isolate group {group-id | all }，查看端口隔离组的配置。clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。port-isolate exclude vlan命令配置端口隔离功能生效时排除的VLAN。