华为交换机端口隔离的配置

纸水仙

　　3000系列：
　　一      组网需求：
　　1．PC1、PC2、PC3属于同一VLAN；
　　2．PC1、PC2、PC3彼此隔离。
　　二      组网图：

http://blog.51cto.com/attachment/201011/100500390.jpg

　　
　　三      配置步骤：
　　1．进入系统模式
　　system-view
　　2．创建（进入）VLAN10
　　[Quidway] vlan 10
　　3．将端口E0/1、E0/2、E0/3加入VLAN10
　　[Quidway-vlan10]port ethernet 0/1 to ethernet 0/3
　　4．进入E0/1端口视图
　　[Quidway-vlan10] interface ethernet 0/1
　　5．配置端口E0/1与E0/2和E0/3隔离
　　[Quidway-Ethernet0/1] am isolate ethernet 0/2 to ethernet 0/3
　　6．进入E0/2端口视图
　　[Quidway-Ethernet0/1] interface ethernet 0/2
　　7．配置端口E0/2和E0/3隔离
　　[Quidway-Ethernet0/2] am isolate ethernet 0/3
　　四:配置关键点：
　　1．此功能只能用于隔离同一VLAN相同IP网段用户；
　　2．对于两个端口之间的隔离，只需要在其中一个端口下进行配置即可。
　　3600系列：
　　1．1组网需求
　　l  小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连
　　l  交换机通过Ethernet1/0/1端口与外部网络相连
　　l  小区用户PC2、PC3和PC4之间不能互通

http://blog.51cto.com/attachment/201011/115146736.jpg

　　1．3配置步骤
　　# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
　　<H3C> system-view
　　System View: return to User View with Ctrl+Z.
　　[H3C] interface ethernet1/0/2
　　[H3C-Ethernet1/0/2] port isolate
　　[H3C-Ethernet1/0/2] quit
　　[H3C] interface ethernet1/0/3
　　[H3C-Ethernet1/0/3] port isolate
　　[H3C-Ethernet1/0/3] quit
　　[H3C] interface ethernet1/0/4
　　[H3C-Ethernet1/0/4] port isolate
　　[H3C-Ethernet1/0/4] quit
　　[H3C]
　　# 显示隔离组中的端口信息。
　　<H3C> display isolate port
　　Isolated port(s) on UNIT 1:
　　Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
　　9000系列：

　　一、组网需求：
　　用户端口E4/1/1、E4/1/2、E4/1/3都属于一个vlan，要求用户端口之间不能进行二层互访，但是都可以和上联端口G3/1/1互访。

http://blog.51cto.com/attachment/201011/115441218.jpg

　　三、配置步骤：
　　软件版本：S9500交换机1250之后的版本
　　硬件版本：S9500交换机业务单板
　　1）创建VLAN 100，将端口E4/1/1，E4/1/2，E4/1/3加入VLAN 100中
　　[H3C]vlan 100
　　[H3C-vlan100]port e4/1/1 to e4/1/3
　　2）创建隔离组1
　　[H3C]port-isolate group 1
　　3）将端口E4/1/1，E4/1/2，E4/1/3加入隔离组中
　　[H3C]interface e4/1/1
　　[H3C-Ethernet4/1/1]port-isolate group 1
　　[[H3C-Ethernet4/1/1]]interface e4/1/2
　　[H3C-Ethernet4/1/2]port-isolate group 1
　　[H3C-Ethernet4/1/2]interface e4/1/3
　　[H3C-Ethernet4/1/3]port-isolate group 1
　　4）将端口G3/1/1配置成trunk，并允许vlan100通过，同时将其配置成隔离组1的上行端口
　　[H3C]interface g3/1/1
　　[H3C-GigabitEthernet3/1/1]port link-type trunk
　　[H3C-GigabitEthernet3/1/1]port trunk permit vlan 100
　　[H3C-GigabitEthernet3/1/1]port-isolate uplink-port group 1
　　四、配置关键点：
　　1）隔离组内的端口只能与上行端口进行通信，隔离组的上行端口所在的VLAN必须包括所有该隔离组内端口；
　　2）只有在创建隔离组后才能配置该隔离组的上行端口和该隔离组的隔离端口；
　　3）隔离组的隔离端口和上行端口只能配置在以太网口和RPR端口；
　　4）一个端口只能加入一个隔离组；
　　5）一个隔离组的上行端口只能有一个，可以是聚合组，但不能是静态聚合组或动态聚合组；
　　6）一个端口可以既是隔离端口也可以是上行端口，但不能是同一个隔离组的隔离端口和上行端口；
　　7）如果隔离端口是聚合组的成员，聚合组的其他端口也将加入隔离组