华为-端口隔离

期待未来的男孩

已于 2022-06-09 16:27:58 修改

阅读量7.3k

点赞数 15

分类专栏：路由交换文章标签： java 网络 linux 数据库 python

于 2020-09-15 23:20:47 首次发布

本文链接：https://blog.csdn.net/u012391293/article/details/116982818

版权

路由交换专栏收录该内容

73 篇文章 12 订阅

订阅专栏

配置端口隔离
端口隔离可实现同一VLAN内端口之间的隔离，为用户提供了更安全、更灵活的组网方案。
背景信息
为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；如果用户希望同一VLAN不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离即可。
端口隔离的方法和应用场景如图1所示。PC1、PC2和PC3同属于VLAN10，将PC1与PC2对应的端口GE1/0/1和GE1/0/2加入端口隔离组后，PC1与PC2在VLAN10内不能互相访问，但是PC3与PC1之间可以互相访问，PC3与PC2之间也可以互相访问。
图1 端口隔离示例组网图

现网中可能存在如下情况时，还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机，若某台主机存在安全隐患，可能会向其他主机发送大量的广播报文。用户可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
如图2所示，假设PC4存在安全隐患，会向其他主机发送大量广播报文，可以仅在PC4对应设备接口GE1/0/4上配置与GE1/0/5、GE1/0/6进行单向隔离，这样PC4发送的广播报文不能到达PC5、PC6，但从PC5、PC6发送的广播报文可以到达PC4。
图2 端口隔离示例组网图

操作步骤

配置端口隔离组

执行命令system-view，进入系统视图。
（可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。
缺省情况下，端口隔离模式为二层隔离三层互通。
执行命令interface interface-type interface-number，进入以太网接口视图。
执行命令port-isolate enable [ group group-id ]，使能端口隔离功能。
缺省情况下，未使能端口隔离功能。
端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能。
同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。如果不指定group-id参数时，默认加入的端口隔离组为1。

配置端口单向隔离

执行命令system-view，进入系统视图。
（可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。
缺省情况下，端口隔离模式为二层隔离三层互通。
执行命令interface interface-type interface-number，进入以太网接口视图。
执行命令am isolate {interface-type interface-number }&<1-8> ，配置端口单向隔离。
缺省情况下，未配置端口单向隔离。

说明：在接口A上配置与接口B之间单向隔离后，接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A。
同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现。

检查配置结果
任意视图下执行命令display port-isolate group { group-id | all }，查看端口隔离组的配置。
后续处理
当您完成配置端口隔离功能后，后续可以执行下列任务：

当您为了减少维护量和降低操作的复杂度，可以在系统视图下执行clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。
当您希望某个VLAN的端口隔离不生效，VLAN内的用户依旧可以互相访问，可以在系统视图下执行port-isolate exclude vlan命令配置端口隔离功能生效时排除VLAN。

案例：