端口隔離配置

端口隔離簡介

為了實現報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費有限的VLAN資源。采用端口隔離特性，可以實現同一VLAN內端口之間的隔離。

設備支持以下方式進行端口隔離：

• 基于隔離組的端口隔離。將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。該方式的端口隔離與端口所屬的VLAN無關，隔離組內的端口和隔離組外屬于同一VLAN的端口二層流量雙向互通。該方式可以實現隔離組內所有端口之間二層數據的隔離，且對加入隔離組的端口數量沒有限制，但設備只能支持一個隔離組，由系統自動創建，用戶不可刪除該隔離組或創建其他的隔離組。
• 基于VLAN的端口隔離。在同一VLAN內，將不同的端口配置為端口隔離，就可以實現同一VLAN內部分端口之間二層數據的隔離。該方式的端口隔離，僅隔離該VLAN內配置的隔離端口之間的二層流量。該方式最大支持在16個任意VLAN中配置基于VLAN的端口隔離，在每個VLAN中，配置為端口隔離的端口之間，都是相互隔離的。
• 基于端口組VLAN的端口隔離。在同一VLAN內，將不同的端口加入到不同的“端口組VLAN”中，就可以實現不同“端口組VLAN”之間二層數據的隔離，而相同“端口組VLAN”內所有端口二層流量雙向互通。

需要注意的是，基于隔離組的端口隔離功能和基于端口組VLAN的端口隔離功能互斥，不能同時配置。端口隔離功能為用戶提供了更安全、更靈活的組網方案。

A配置基于隔離組的端口隔離

拓撲圖

基本配置

• 配置PC和Server-2的ip、掩碼、網關

以PC_1為例：

配置Server-2的ip、掩碼、網關

配置網絡接口，添加一個新的接口

選擇靜態地址，注意該設備選擇連接交換機的端口eth3

填寫ip地址、子網掩碼、ip網關

保存并應用

應用成功

使用交換機配置網關

[H3C]int g1/0/10 #進入連接Server-2的端口
[H3C-GigabitEthernet1/0/10]port access vlan 100 #劃分給vlan100
[H3C-GigabitEthernet1/0/10]quit
[H3C]

測試鏈路

• 交換機的基本配置：

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]vlan 100 #創建vlan100
[H3C-vlan100]int vlan 100 #配置vlan100接口
[H3C-Vlan-interface100]ip address 192.168.100.254 255.255.255.0 #給vlan100配置ip網關
[H3C-Vlan-interface100]quit
[H3C]int range g1/0/1 to g1/0/5 #批量配置1-5口
[H3C-if-range]port access vlan 100 #只允許vlan100通過
[H3C-if-range]%Jul 14 22:07:47:094 2024 H3C IFNET/3/PHY_UPDOWN: Physical state on the interface Vlan-interface100 changed to up.
%Jul 14 22:07:47:094 2024 H3C IFNET/5/LINK_UPDOWN: Line protocol state on the interface Vlan-interface100 changed to up.[H3C-if-range]dis this #查看當前配置
#
interface GigabitEthernet1/0/1port link-mode bridgeport access vlan 100combo enable fiber
#
return
[H3C-if-range]quit
[H3C]

當前狀態下PC直接可以互相通信，例如PC_1可以ping通PC_2：

也可以與Server-2進行通信

配置端口隔離

• 將g1/0/1到g1/0/5口劃分在同一個隔離組中，使PC直接不能直接通信。

[H3C]port-isolate group 3 #創建隔離組3
[H3C]
[H3C]int range g1/0/1 to g1/0/5 #批量配置1-5口
[H3C-if-range]port-isolate enable group 3 #啟用隔離組3
[H3C-if-range]dis this #查看當前配置
#
interface GigabitEthernet1/0/1port link-mode bridgeport access vlan 100combo enable fiberport-isolate enable group 3
#
return
[H3C-if-range]quit
[H3C]

當前狀態下PC直接不能直接通信，但PC可以與Server-2進行通宵。例如PC_1不能ping通PC_2，但可以ping通Server-2。

由于H3C Cloud Lab軟件不支持端口隔離，所以Ping測PC_1和PC_2還是互通的。

查看隔離配置

dis port-isolate group

由于H3C Cloud Lab軟件不支持端口隔離以下內容不再進行模擬

詳情參考：https://www.h3c.com/cn/d_202104/1400411_30005_0.htm

B配置基于VLAN的端口隔離

將端口加入VLAN隔離組

操作	命令	說明
進入系統視圖	system-view	-
進入VLAN接口視圖	vlan vlan-id	-
配置基于VLAN的端口隔離	vlan-isolate port interface-type interface-number**1 [ to interface-type interface-number**2 ]	必選缺省情況下，VLAN內沒有配置任何端口隔離

C配置基于端口組VLAN的端口隔離

將端口加入端口組VLAN（方式一）

操作	命令	說明
進入系統視圖	system-view	-
創建端口組VLAN	port-group-vlan { port-group-vlan-id1 [ to port-group-vlan-id2 ] | all }	必選設備最多支持端口組VLAN的個數和設備實際的端口數保持一致缺省情況下，系統只有一個缺省端口組VLAN 1
將指定端口加入到端口組VLAN中	port-group-vlan port-group-vlan-id interface-list	必選缺省情況下，所有端口都屬于端口組VLAN 1

將端口加入端口組VLAN（方式二）

操作	命令	說明
進入系統視圖	system-view	-
創建端口組VLAN	port-group-vlan { port-group-vlan-id1 [ to port-group-vlan-id2 ] | all }	必選設備最多支持端口組VLAN的個數和設備實際的端口數保持一致缺省情況下，系統只有一個缺省端口組VLAN 1
進入以太網端口視圖	interface interface-type interface-number	必選在二層以太網端口視圖下執行該命令，則該配置只在當前端口生效
將當前以太網端口加入到指定端口組VLAN中	port-group-vlan { port-group-vlan-id1 [ to port-group-vlan-id2 ] | all }	必選缺省情況下，當前端口屬于端口組VLAN 1