交换机端口隔离

POE交换机端口隔离功能

老款POE交换机端口隔离功能解释及命令如下：

2.1 switchport protected

命令描述

[no] switchport protected

配置端口隔离功能。

参数

无

缺省

端口未隔离

说明

在二层端口配置模式下配置该命令。

示例

配置f0/1端口不转发未知单播帧。

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport protected

如果涉及到多个端口，则分别进入后配置命令即可。但是上联端口切忌不要做隔离。否则无法通信！

interface fastethernet0/1

switchport protected

exit

interface fastethernet0/2

switchport protected

exit

interface fastethernet0/3

switchport protected

exit

interface fastethernet0/4

switchport protected

exit

interface fastethernet0/5

switchport protected

exit

interface fastethernet0/6 switchport protected

exit

interface fastethernet0/7 switchport protected

exit

interface fastethernet0/8 switchport protected

目录

第1章端口隔离配置命令.......................................................................................................1-1 1.1 端口隔离配置命令..............................................................................................................1-1 1.1.1 display isolate port..................................................................................................1-1

1.1.2 port isolate...............................................................................................................1-1

第1章端口隔离配置命令

1.1 端口隔离配置命令

1.1.1 display isolate port

【命令】

display isolate port

【视图】

任意视图

【参数】

无

【描述】

display isolate port命令用来显示已经加入到隔离组中的以太网端口信息。

【举例】

# 显示已经加入到隔离组中的以太网端口信息。

区别于参考文档，总结一下实际配置情况：

1、通过PC端XP/win7的超级终端连接交换机的console口，连接成功后进行配置，具体图

文步骤见独立文档。

（注意：交换机自带的配置线为串口-RJ45线，笔记本若无串口需要通过usb转串口线连接，连接前注意安装驱动）

2、配置端口隔离：

1）进入系统视图：system-view

2）进入接口视图：[Huawei] interface GigabitEthernet 0/0/1

3）将该端口配置为隔离端口：

[Huawei -GigabitEthernet0/0/1] port-isolate enable 4）退出：[Huawei -GigabitEthernet0/0/1]quit

5）将其他目标端口配置为隔离端口，如GigabitEthernet0/0/2、GigabitEthernet0/0/3等，配置命令完全一样

6）配置完成后可对相应隔离端口进行ping测试，可以发现隔离端口之间数据传输已经相互隔离

3、注意点：

1）实际上还有个端口隔离组的概念，每个隔离组相互独立，只有同一个隔离组的端口之间才有“隔离”的效果，不同隔离组之间的端口即使开启了端口隔离也能进行数据互通，但事实上，默认配置下，所有端口都在同一个端口隔离组“1”，所以若无需增加隔离组直接配置即可。

2）关闭端口隔离：undo port-isolate enable（进入相应接口视图）

组网需求

在如图1-4 所示的网络中，由于接口Ethernet0/0/2 所连接的网络中存在安全隐患，因此需要将它和接口Ethernet0/0/1 单向隔离，和接口Ethernet0/0/3 双向隔离。

配置思路

采用如下思路配置接口隔离：

l 创建VLAN 6 并将接口Ethernet0/0/1、Ethernet0/0/2、Ethernet0/0/3 加入VLAN。l 在接口Ethernet0/0/2 上配置它对接口Ethernet0/0/1 单向隔离。

l 将接口Ethernet0/0/2、Ethernet0/0/3 批量加入接口组，配置接口隔离功能，实现双向隔离。

数据准备

S-switch-A 与三个LAN Switch 相连的接口编号。

配置步骤

1. 创建VLAN 6 并将接口Ethernet0/0/1、Ethernet0/0/2、Ethernet0/0/3 加入VLAN。[Quidway] vlan 6

[Quidway-vlan6] port ethernet 0/0/1 to 0/0/3

[Quidway-vlan6] quit

2. 在接口Ethernet0/0/2 上配置它对接口Ethernet0/0/1 单向隔离。

[Quidway] interface ethernet0/0/2

[Quidway-Ethernet0/0/2] am isolate ethernet 0/0/1

[Quidway-Ethernet0/0/2] quit

3. 将接口Ethernet0/0/2、Ethernet0/0/3 批量加入接口组geli，并配置接口隔离功能，实现双向隔离。

交换机端口隔离流控关闭标准模式

交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素

1. 概述

1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离

2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭

3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式

4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

交换机端⼝隔离port-isolate

交换机端⼝隔离port-isolate

⼀公司有三个部门，分别有三台PC。根据要求实现，PC1与PC2禁⽌互相访问，PC1可以访问PC3，但PC3不能访问PC1，PC2与PC3之间可以互相访问。

根据需求分析，PC1与PC2之间端⼝隔离，PC1与PC3之间单向隔离（模拟器没有实现），PC2与PC3之间不隔离。

脚本：

#

VLAN 2

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

port-isolate enable group 3

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

port-isolate enable group 3

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 2

am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。

#

在此情况下，PC1与PC2之间隔离了⼆层，但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时，

在GI0/0/1抓包：

从抓包信息可以看到，GI0/0/1有ARP报⽂，⽽GI0/0/2没有ARP 报⽂。

在SW上做VLAN2的⽹关，

interface Vlanif2

ip address 10.10.10.250 255.255.255.0

华为交换机端口安全详解--端口隔离、环路检测与端口安全

一、端口隔离--port-isolate

组网需求

如图1所示，要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

配置端口隔离功能

# 配置端口隔离模式为二层隔离三层互通。

<Quidway> system-view

[Quidway] port-isolate mode l2

# 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。

<Quidway> system-view

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port-isolate enable group 1

[Quidway-Ethernet0/0/1] quit

[Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] port-isolate enable group 1

[Quidway-Ethernet0/0/2] quit

ethernet 0/0/3 无需加入端口隔离组，处于隔离组的各个端口间不能通信

查看当前配置

disp cur

#

sysname Quidway

#

interface Ethernet0/0/1

port-isolate enable group 1

#

interface Ethernet0/0/2

port-isolate enable group 1

端口隔离技术概述端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层数据的隔离，使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，增加了网络安全性，提高了网络性能sysSystem View: return to User View with Ctrl+Z.[H3C]interface Ethernet 1/0/1[H3C-Ethernet1/0/1]port isolate //设置本端口为隔离端口[H3C-Ethernet1/0/1]quit [H3C] interface Ethernet 1/0/2[H3C-Ethernet1/0/2]port isolate //设置本端口为隔离端口[H3C-Ethernet1/0/2]quit [H3C] interface Ethernet 1/0/3[H3C-Ethernet1/0/3]port isolate //设置本端口为隔离端口[H3C-Ethernet1/0/3]quit[H3C]save //保存配置[H3C]display isolate port //查询端口隔离组中的端口[H3C-Ethernet1/0/X]undo port isolate //删除某端口下的隔离端口注：端口隔离不同于VLAN其它厂商品牌交换机端口隔离技术应用华为[Quidway]interface Ethernet1/0/1[Quidway-Ethernet1/0/1] port-isolate enable //开启本端口隔离功能思科Switch(config)# interface 端口号Switch(config-if)# switchitchport protected //开启端口保护功能注：思科个别型号交换机采用PVLAN来实现端口保护功能

Extreme交换机EXOS系列实现端口隔离

一、网络拓扑图：

二、配置目标

1、Main VLAN可以通过Web Proxy Server访问互联网，也可以访问到远程交换机的File Server

2、Client Connections VLAN中的客户端电脑之间不能互相访问（即端口隔离），但都可以访问到File Server服务器和互联网。

2、Research VLAN中的客户端电脑之间可以互相访问，并同时允许访问互联网和File Server.

（注：Web Proxy Server为互联网代理服务器）

三、PVLAN配置

1、本地交换机配置：

2、远程交换机配置：

3、本地交换机PVLAN配置：

4、配置VLAN转换：

5、查看PVLAN配置：

烽火交换机端口隔离配置方法

烽火交换机端口隔离配置方法

随着各个WLAN站点POE交换机下联的AP逐渐增多，为防止网络中的广播风暴对交换机的正常运行速度造成影响，建议对下联AP较多的交换机做一下端口隔离，这样可以有效防止由于广播风暴导致的交换机运行速度太慢甚至将交换机冲死的问题。具体配置方法如下：对于CONSOLE口在左边的烽火交换机的配置方法为：

使用串口线连接交换机，然后使用超级终端（还原默认设置）进入命令行模式：

Switch>enable

Switch#config

Switch_config#interface range 2,3,4,6,8-12（假设其中2,3,4,6,8,9,10,11,12端口为设备下联端口，上联端口为1号口，端口要根据具体情况而定。注意：上联口一定不要加入，否则将导致无法上网）

Switch_config_if_range#switchport protected（开启上述端口的端口隔离）

Switch_config_if_range#quit

Switch_config#quit

Switch#write（保存配置）

对于CONSOLE口在右边的烽火交换机的配置方法为：

使用网线连接交换机右边CON口下面的ETH端口，此端口为带外网管口，默认ip地址为192.168.2.1，将笔记本网口ip地址设置为192.168.2.2 255.255.255.0，关闭防火墙，保证笔记本网口可以ping 通ETH端口地址192.168.2.1。然后在开始菜单中点击运行，输入cmd，进入命令行，输入如下命令，telnet 192.168.2.1,进入交换机配置界面：

中兴3950/5950交换机的端口隔离命令

查看交换机配置

ND_ZHL_SW3>enable

ND_ZHL_SW3#show running

首先：看那些端口是上联口trunk口

ND_ZHL_SW3>enable

ND_ZHL_SW3#

ND_ZHL_SW3#show vlan trunk

VLAN Name IsDynamic PvidPorts UntagPorts TagPorts

--------------------------------------------------------------------------------

1 VLAN0001 NO

30 VLAN0030 NO

100 VLAN0100 NO fei_1/24 （注：24为trunk口那么，就要设置成上联口promis）

ND_ZHL_SW3#

第一：设置交换机端口隔离

ND_ZHL_SW3>enable

ND_ZHL_SW3#

ND_ZHL_SW3#configure terminal

ND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-23 promis fei_1/24

(注：fei_1/1-23是批量设置成隔离口，有多个上联口的话要分开写例如把23,24口设置成上联口，1到22是隔离口要这样写

ND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-21 promis fei_1/22，fei_1/23，fei_1/24 ）

交换机：探索端口隔离、流控关闭及标准模式

作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离

1. 为什么需要端口隔离？

当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法

在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景

端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭

1. 流控的作用和原理

流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响

在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

华为以太网配置-端口隔离

端口隔离：

端口隔离是为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前有些设备只支持一个隔离组（以下简称单隔离组），由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。有些设备支持多个隔离组（以下简称多隔离组），用户可以手工配置。不同设备支持的隔离组数不同，请以设备实际情况为准。

缺点：

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

如下图: 要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

端口隔离拓扑图

采用如下的思路配置端口隔离：

配置PC1和PC2相连端口的端口隔离功能，使PC1与PC2不能互相访问。

数据准备

为完成此配置例，需准备如下的数据：

Switch与PC1之间连接的端口号。

Switch与PC2之间连接的端口号。

配置Switch的端口隔离模式为二层隔离三层互通（此配置为缺省配置）。

配置连接PC1、PC2、PC3的端口属于同一VLAN（缺省情况下属于VLAN1）。配置连接PC1、PC2的端口属于同一隔离组（缺省情况下属于隔离组1）。

操作步骤

首先测试可以ping通

端口隔离ping

通常，要实现交换机端口之间的隔离，最简单常用的方法就是划分VLAN （虚拟局域网）。然而在具体应用中，往往又希望端口隔离后某些VALN 之间能灵活互访。一般情况下，需要在二层交换机上实现隔离，然后在上联的三层交换机或路由器上实现VLAN 之间的互访。

实际上，只利用二层交换机同样可以完成隔离与互访的功能，这就是二层交换机Hybrid （混合）端口模式的应用。

1 交换机链路端口模式

华为二层交换机一般有四种链路端口模式，分别是Access、Trunk 、Hybrid 端口模式。

1.1 Access 端口模式

Access 类型的端口只能属于一个VLAN ，所以它的缺省VLAN 就是它所在的VLAN ，不用设置。一般作为连接计算机的端口。

1.2 Trunk 端口模式

Trunk 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，一般作为交换机之间连接的端口。

1.3 Hybrid 端口模式

Hybrid 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。Hybrid 端口模式的特点如下：

Hybrid 属性是一种混和模式，实现了在一个untagged ( 不打标签) 端口允许报文以tagged （打标签）形式送出交换机。同时，可以利用Hybrid 属性来定义分别属于不同VLAN 端口之间的互访，这是Access 和Trunk 端口所不能实现的。

Hybrid 端口还可以设置哪些VLAN 的报文打上标签，哪些不打标签，为实现对不同VLAN 报文执行不同处理流程打下了基础。

交换机端口隔离安全实验报告实验目的：

本实验旨在通过交换机端口隔离技术，提高网络的安全性和隔离性，并验证隔离效果。

实验环境：

本实验使用了一台拥有多个可配置端口的交换机，并连接了多台主

机设备。

实验步骤：

1. 配置交换机端口隔离功能：

首先，登录交换机管理界面，在交换机配置页面上找到端口隔离

选项。根据实际需求，选择需要隔离的端口，并启用隔离功能。

2. 设置隔离规则：

在交换机端口隔离配置页面上，为每个需要隔离的端口设置隔离

规则。可以根据IP地址、MAC地址等进行隔离规则的设定。

3. 验证隔离效果：

连接不同的主机设备至交换机的不同端口，并在各个主机之间进

行通信测试。检查是否存在跨端口通信，验证隔离效果的可行性。

实验结果：

通过交换机端口隔离功能的配置，我们成功实现了端口之间的隔离。在测试过程中，我们发现无法实现跨端口的通信，证明了隔离的效果。

实验总结：

交换机端口隔离技术在网络安全中发挥了重要作用。通过该技术，

可以有效隔离不同端口之间的通信，增强网络的安全性和隔离性。在

实验中，我们成功配置了交换机端口隔离功能，并验证了其有效性。

然而，需要注意的是，在实际应用中，还需要综合考虑业务需求和网

络拓扑结构，合理配置端口隔离规则，以达到最佳的网络安全效果。

实验局限性：

本实验仅仅针对交换机端口隔离功能的验证，未对其他相关安全功

能进行测试。在实际应用中，需要综合考虑其他网络设备和安全机制，搭建完整的网络安全体系。

未来展望：

随着网络安全威胁的不断演变和升级，交换机端口隔离技术也需要

不断更新和改进。未来，我们希望通过进一步的研究和实践，提高交