华为端口隔离技术

华为端口隔离技术

不同端口加入不同的VLAN可以实现报文之间的二层和三层的隔离，但是这样会浪费有限的vlan资源，配置起来相对麻烦。且同一个vlan中二层还是互通的。

端口隔离技术可实现同vlan内端口的二层隔离，只需要将端口加入到隔离租中，但此方法仅适用于同一交换机不同端口间的隔离，且一个端口可以加入多个端口隔离组。

端口隔离分为：1、接口单向隔离

2、端口隔离组

单向隔离配置：

port-isolate mode [all| l2]

其中all表示2层和3层都隔离

l2表示二层隔离三层互通

interface 接口名称（x）
am isolate 端口范围（y）
y表示和端口x单向隔离的端口列表，单向隔离支持不同类型的端口混合隔离，但不支持与管理网口隔离，也不支持Eth-Trunk与自身成员端口隔离
**配置实列**：

port-isolate mode all
interface GigabitEthernet 0/0/1
am isolate GigabitEthernet 0/0/3 to 0/0/20

端口隔离组

port-isolate enable [group group-id]

使能端口隔离功能，并把相应接口加入到隔离组中，缺省为隔离组1。

要相互隔离的端口一定要加入到同一个隔离组中，否则无法隔离（同一端口隔离组的端口之间相互隔离，不同端口隔离组端口之间不隔离）

port-isolate mode all
interface GigabitEthernet 0/0/1
port-isolate enable [group group-id]

配置如下：

[Huawei]sysname s1
[s1]
Oct  7 2017 18:03:49-08:00 s1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 6, the ch
ange loop count is 0, and the maximum number of records is 4095.
[s1]und
[s1]undo in
[s1]undo info-center en
[s1]undo info-center enable
Info: Information center is disabled.
[s1]int
[s1]interface g0/0/1
[s1-GigabitEthernet0/0/1]po
[s1-GigabitEthernet0/0/1]port-is
[s1-GigabitEthernet0/0/1]port-isolate en
[s1-GigabitEthernet0/0/1]port-isolate enable g
[s1-GigabitEthernet0/0/1]port-isolate enable group 10
[s1-GigabitEthernet0/0/1]q
[s1]int
[s1]interface g0/0/2
[s1-GigabitEthernet0/0/2]po
[s1-GigabitEthernet0/0/2]port-is
[s1-GigabitEthernet0/0/2]port-isolate en
[s1-GigabitEthernet0/0/2]port-isolate enable g
[s1-GigabitEthernet0/0/2]port-isolate enable group 10
[s1-GigabitEthernet0/0/2]q