【以太网交换安全】--- 端口隔离运行原理及二层隔离三层通信实例配置讲解

一、端口隔离技术概述

一般在以太网交换网络中为了隔绝广播域通常使用不同的vlan进行报文之间的二层隔离，但是网络随着网络规模不断扩大，业务种类也是百花齐放，我们如果还是使用之前的传统vlan那么会使用大量的vlan id并且运维工作也是十分繁重，为了满足种类如此繁多的需求，产生了端口隔离技术，提供更灵活快捷的组网方式。

二、端口隔离技术运行原理

端口隔离技术主要就是可以对·同一个vlan内的用户进行二层数据进行隔离，端口隔离还可以配置同一个隔离组内端口之间是否相互隔离（缺省）,也可以选择单项隔离，在隔离类型的基础上还可以进行设置是二层隔离三层互通（缺省）或者二层三层都隔离。

注：在配置二层隔离三层互通隔离模式的时候，需要在vlanif接口上使能vlan内的Proxy ARP/ARP代理功能，这样才可以通过代理人进行vlan内通信。
使能Proxy ARP/ARP代码：

#内部子vlan代理
arp-proxy inner-sub-vlan-proxy enable

三、端口隔离实例配置配置

实验需求：

1.PC1 PC2之间不可以通过二层vlan进行通信
2.PC4可以和PC1 PC2进行通信

需求分析：
PC1 PC2之间不可以通过vlan进行通信这就是使二者放入同一个隔离组然后隔离模式设置L2就可以，有了前面的铺垫，PC4什么都不需要做就可以完成需求。
实验步骤:
老规矩先配置二层，在实现需求。
LSW1

#lsw1
vlan b 10
int e 0/0/1
p l a
p d v 10
int e 0/0/2
p l a
p d v 10
int e 0/0/3
p l a
p d v 10
int g 0/0/1
p l t
p t a v 10

LSW2

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10

至此二层配置完毕！

---

我们把PC1 PC2加入同一个隔离组10
LSW1

#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
 port-isolate enable group 1
 port-isolate enable group 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
 port-isolate enable group 10
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 10

我们必须在三层设备上把vlan划分进端口开启ARP代理!！！ 并添加网关地址。
LSW2

#
interface Vlanif10
 ip address 192.168.1.254 255.255.255.0
 arp-proxy inner-sub-vlan-proxy enable

所有配置已完成

---

四、效果检测

检测PC1和PC2是否通过三层进行通信

检测PC4是否可以和PC 1PC2进行通信

五、端口配置命令

1.使能端口隔离功能

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

2.（可选）配置端口隔离模式

#缺省情况下，端口隔离模式为L2。
#L2 端口隔离模式为二层隔离三层互通。
#all 端口隔离模式为二层三层都隔离。
[Huawei] port-isolate mode { l2 | all }

3.配置端口单向隔离

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

4.查询删除命令

display port-isolate group { group-id | all }，查看端口隔离组的配置。
clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。
port-isolate exclude vlan命令配置端口隔离功能生效时排除的VLAN。