一、端口隔離簡介

為了實(shí)現(xiàn)端口間的二層隔離，可以將不同的端口加入不同的 VLAN，但 VLAN 資源有限。采用端口隔離特性，用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層隔離，而不關(guān)心這些端口所屬 VLAN，從而節(jié)省 VLAN 資源。

隔離組內(nèi)的端口與未加入隔離組的端口之間二層流量雙向互通。

1. 配置隔離組

設(shè)備支持多個(gè)隔離組，用戶可以手工配置。隔離組內(nèi)可以加入的端口數(shù)量沒有限制。

2. 端口隔離顯示和維護(hù)

在完成上述配置后，在任意視圖下執(zhí)行 display 命令可以顯示配置后端口隔離的運(yùn)行情況，通過查看顯示信息驗(yàn)證配置的效果。

display port-isolate group [ group-number ] 

二、端口隔離典型配置舉例

1. 組網(wǎng)需求

小區(qū)用戶Host A、Host B、Host C分別與Device的端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2 、 Ten-GigabitEthernet1/0/3 相 連 ， Device 設(shè) 備 通 過Ten-GigabitEthernet1/0/4 端口與外部網(wǎng)絡(luò)相連。現(xiàn)需要實(shí)現(xiàn)小區(qū)用戶Host A、Host B和Host C彼此之間二層報(bào)文不能互通，但可以和外部網(wǎng)絡(luò)通信。

2. 組網(wǎng)圖

3. 配置步驟

# 創(chuàng)建隔離組 2。  
<Device> system-view  
[Device] port-isolate group 2  
# 將端口 Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3 加入隔離組 2。  
[Device] interface ten-gigabitethernet 1/0/1  
[Device-Ten-GigabitEthernet1/0/1] port-isolate enable group 2  
[Device-Ten-GigabitEthernet1/0/1] quit  
[Device] interface ten-gigabitethernet 1/0/2  
[Device-Ten-GigabitEthernet1/0/2] port-isolate enable group 2  
[Device-Ten-GigabitEthernet1/0/2] quit  
[Device] interface ten-gigabitethernet 1/0/3  
[Device-Ten-GigabitEthernet1/0/3] port-isolate enable group 2 

4. 驗(yàn)證配置

# 顯示隔離組 2 中的信息。  
[Device] display port-isolate group 2  
Port isolation group information:  
Group ID: 2  
Group members:  
Ten-GigabitEthernet1/0/1  
Ten-GigabitEthernet1/0/2  
Ten-GigabitEthernet1/0/3 

以 上 信 息 顯 示 Device 上 的 端 口 Ten-GigabitEthernet1/0/1 、 Ten-GigabitEthernet1/0/2 、Ten-GigabitEthernet1/0/3 已經(jīng)加入隔離組 2，從而實(shí)現(xiàn)二層隔離，分別對應(yīng)的 Host A、Host B 和Host C 彼此之間不能 Ping 通。