本系列通過介紹常見的以太網交換安全技術，包括端口隔離、端口安全、mac地址漂移檢測、風暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常見技術，以提高對以太網交換安全的理解和認識。

端口隔離技術背景

• 以太交換網絡中為了實現報文之間的二層隔離，用戶通常將不同的端口加入不同的VLAN，實現二層廣播域的隔離。
• 大型網絡中，業務需求種類繁多，只通過VLAN實現報文二層隔離，會浪費有限的VLAN資源。

如下圖所示，由于某種業務需求，PC1與PC2雖然屬于同一個VLAN ，但是要求它們在二層不能互通（但允許三層互通），PC1與PC3在任何情況下都不能互通，但是VLAN 3里的主機可以訪問VLAN 2里的主機。 那么該如何解決這個問題呢？

端口隔離技術概述

采用端口隔離功能，可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。

端口隔離技術原理

• 雙向隔離

同一端口隔離組的接口之間互相隔離，不同端口隔離組的接口之間不隔離。端口隔離只是針對同一設備上的端口隔離組成員，對于不同設備上的接口而言，無法實現該功能。

• 單向隔離

為了實現不同端口隔離組的接口之間的隔離，可以通過配置接口之間的單向隔離來實現。缺省情況下，未配置端口單向隔離。

• L2（二層隔離三層互通）

隔離同一VLAN內的廣播報文，但是不同端口下的用戶還可以進行三層通信。缺省情況下，端口隔離模式為二層隔離三層互通。

• ALL(二層三層都隔離)

同一VLAN的不同端口下用戶二三層徹底隔離無法通信。

?

采用二層隔離三層互通的隔離模式時，在VLANIF接口上使能VLAN內Proxy ARP功能，配置arp-proxy inner-sub-vlan-proxy enable，可以實現同一VLAN內主機通信。

”

端口隔離配置命令

1. 使能端口隔離功能

[Huawei-GigabitEthe.NET0/0/1] port-isolate enable [ group group-id ]

?

缺省情況下，未使能端口隔離功能。如果不指定group-id參數時，默認加入的端口隔離組為1。

”

2. (可選）配置端口隔離模式

Huawei] port-isolate mode { l2 | all }

?

缺省情況下，端口隔離模式為L2。

• L2 端口隔離模式為二層隔離三層互通。
• all 端口隔離模式為二層三層都隔離

”

3. 配置端口單向隔離

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

?

am isolate命令用來配置當前接口與指定接口的單向隔離。在接口A上配置與接口B之間單向隔離后，接口A發送的報文不能到達接口B，但從接口B發送的報文可以到達接口A。缺省情況下，未配置端口單向隔離。

”

端口隔離配置舉例

?

如圖所示：PC1、PC2和PC3屬于VLAN 2，通過配置端口隔離，使PC3可以與PC1、PC2通信，但是PC1和PC2之間無法通信。

”

Switch配置如下：

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2

?

• display port-isolate group { group-id | all }，查看端口隔離組的配置。
• clear configuration port-isolate命令一鍵式清除設備上所有的端口隔離配置。
• port-isolate exclude vlan命令配置端口隔離功能生效時排除的VLAN。

”

端口隔離配置驗證

1. 通過display port-isolate group group-number查看端口隔離組中的端口

[SW]display port-isolate group 2
  The ports in isolate group 2:
GigabitEthernet0/0/1     GigabitEthernet0/0/2 

2. 驗證同一端口隔離組下主機網絡不能互通。

PC1>ping 10.1.1.2
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
--- 10.1.1.2 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss