华为 S2126交换机 端口隔离 配置

端口限速基本配置1端口绑定基本配置ACL基本配置密码恢复三层交换配置端口镜像配置DHCP配置配置文件管理远程管理配置STP配置私有VLAN配置端口trunk、hybrid应用配置交换机配置（一）端口限速基本配置华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1. PC1和PC2的IP地址分别为『组网需求』1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】1. 进入端口E0/1的配置视图[SwitchA]interface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA- Ethernet0/1]line-rate outbound 303. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA- Ethernet0/1]line-rate inbound 16【补充说明】报文速率限制级别取值为1～127。

如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。

H3C---S2126型号交换机镜像端口配置通过Console口搭建配置环境1. 连接交换机到PC如图2-2所示，建立本地配置环境，只需将PC的串口通过配置电缆与以太网交换机的Console口连接。

图2-2 通过Console口搭建本地配置环境2. 配置终端参数(1)打开PC，在PC机Windows界面上点击[开始/(所有)程序/附件/通讯]，运行终端仿真程序，建立新的连接（以Windows XP的超级终端为例）。

如图2-3所示，在“名称”文本框中键入新建连接的名称“aaa”，单击<确定>按钮。

图2-3 新建连接(2)选择连接串口。

如图2-4所示，在“连接时使用”下拉表单中选择进行连接的串口（注意选择的串口应与配置电缆实际连接的串口相一致），单击<确定>按钮。

图2-4 连接端口设置(3)设置串口参数。

如图2-5所示，在串口的属性对话框中设置波特率为9600bps，数据位为8，奇偶校验为无，停止位为1，数据流控制为无。

单击<确定>按钮，进入[超级终端]窗口。

图2-5 端口通信参数设置(4)配置超级终端属性。

在超级终端中选择[文件/属性/设置]，进入如图2-6所示的属性设置窗口。

选择终端仿真类型为VT100或自动检测，单击<确定>按钮，返回[超级终端]窗口。

图2-6 终端类型设置(5)终端上显示以太网交换机自检信息，自检结束后提示用户键入回车。

回车后会出现命令行提示符（如<H3C>），此时就可以对交换机进行配置了，具体的配置命令请参考本书中以后各章节的内容。

6.4 以太网端口镜像配置6.4.1 以太网端口镜像简介端口镜像，即能将指定端口的数据包复制到监控端口，以进行网络检测和故障排除。

S2100系列以太网交换机提供基于端口的镜像功能，即可将指定的一个或多个端口的报文复制到镜像端口，用于报文的分析和监视。

例如：将被镜像端口Ethernet0/1端口上的报文复制到指定镜像端口Ethernet0/2，通过镜像端口Ethernet0/2上连接的协议分析仪进行测试和记录。

区别于参考文档，总结一下实际配置情况：
1、通过PC端XP/win7的超级终端连接交换机的console口，连接成功后进行配置，具体图
文步骤见独立文档。

（注意：交换机自带的配置线为串口-RJ45线，笔记本若无串口需要通过usb转串口线连接，连接前注意安装驱动）
2、配置端口隔离：
1）进入系统视图：<Huawei>system-view
2）进入接口视图：[Huawei] interface GigabitEthernet 0/0/1
3）将该端口配置为隔离端口：
[Huawei -GigabitEthernet0/0/1] port-isolate enable 4）退出：[Huawei -GigabitEthernet0/0/1]quit
5）将其他目标端口配置为隔离端口，如GigabitEthernet0/0/2、GigabitEthernet0/0/3等，配置命令完全一样
6）配置完成后可对相应隔离端口进行ping测试，可以发现隔离端口之间数据传输已经相互隔离
3、注意点：
1）实际上还有个端口隔离组的概念，每个隔离组相互独立，只有同一个隔离组的端口之间才有“隔离”的效果，不同隔离组之间的端口即使开启了端口隔离也能进行数据互通，但事实上，默认配置下，所有端口都在同一个端口隔离组“1”，所以若无需增加隔离组直接配置即可。

2）关闭端口隔离：undo port-isolate enable（进入相应接口视图）。

配置接口本章描述锐捷交换机的接口类型以及如何配置接口，本章主要包括以下几个部分：z概述z配置接口z显示接口状态概述本章主要对锐捷交换机的接口类型进行划分，并对每种接口类型进行详细定义。

锐捷交换机的接口类型可分为以下两大类：z2层接口(L2 interface)z3层接口(L3 interface)2层接口(L2 interface)本节主要描述2层接口的类型及相关的定义，可分为以下几种类型z Switch Portz L2 Aggregate PortSwitch Port由交换机上的单个物理端口构成，只有2层交换功能。

分为Access Port和Trunk Port。

Access Port 和Trunk Port的配置必须通过手动配置。

通过switchport 接口配置命令可对switch port进行配置，有关Access Port和Trunk Port的详细配置过程可参照“第八章配置VLAN”。

Access Port每个access port只能属于一个VLAN, Access port只传输属于这个VLAN的帧。

Access port只接收以下三种帧：untagged 帧；vid为0的tagged帧；vid为access port所属VLAN的帧。

只发送untagged 帧。

Trunk PortTrunk port传输属于多个VLAN的帧，缺省情况下Trunk port将传输所有VLAN的帧，可通过设置VLAN许可列表来限制trunk port传输哪些VLAN的帧。

每个接口都属于一个native VLAN，所谓native VLAN，就是指在这个接口上收发的UNTAG报文，都被认为是属于这个VLAN的。

Trunk port可接收tagged 和untagged帧，若Trunk port接收到的帧不带IEEE802.1Q tag,那么帧将在这个接口的native vlan中传输，每个trunk port的native vlan都可设置。

华为S2126交换机端口隔离配置interface Ethernet1/0/1port link-type hybridport hybrid vlan 1 to 23 untagged#interface Ethernet1/0/2port link-type hybridport hybrid vlan 1 to 2 untaggedport hybrid pvid vlan 2#interface Ethernet1/0/3port link-type hybridport hybrid vlan 1 3 untaggedport hybrid pvid vlan 3#interface Ethernet1/0/4port link-type hybridport hybrid vlan 1 4 untaggedport hybrid pvid vlan 4#interface Ethernet1/0/5port link-type hybridport hybrid vlan 1 5 untaggedport hybrid pvid vlan 5#interface Ethernet1/0/6port link-type hybridport hybrid vlan 1 6 untaggedport hybrid pvid vlan 6interface Ethernet1/0/7port link-type hybridport hybrid vlan 1 7 untagged port hybrid pvid vlan 7#interface Ethernet1/0/8port link-type hybridport hybrid vlan 1 8 untagged port hybrid pvid vlan 8#interface Ethernet1/0/9port link-type hybridport hybrid vlan 1 9 untagged port hybrid pvid vlan 9#interface Ethernet1/0/10port link-type hybridport hybrid vlan 1 10 untagged port hybrid pvid vlan 10#interface Ethernet1/0/11port link-type hybridport hybrid vlan 1 11 untagged port hybrid pvid vlan 11#interface Ethernet1/0/12port link-type hybridport hybrid vlan 1 12 untagged port hybrid pvid vlan 12interface Ethernet1/0/13port link-type hybridport hybrid vlan 1 13 untagged port hybrid pvid vlan 13#interface Ethernet1/0/14port link-type hybridport hybrid vlan 1 14 untagged port hybrid pvid vlan 14#interface Ethernet1/0/15port link-type hybridport hybrid vlan 1 15 untagged port hybrid pvid vlan 15#interface Ethernet1/0/16port link-type hybridport hybrid vlan 1 16 untagged port hybrid pvid vlan 16#interface Ethernet1/0/17port link-type hybridport hybrid vlan 1 17 untagged port hybrid pvid vlan 17#interface Ethernet1/0/18port link-type hybridport hybrid vlan 1 18 untagged port hybrid pvid vlan 18interface Ethernet1/0/19port link-type hybridport hybrid vlan 1 19 untagged port hybrid pvid vlan 19#interface Ethernet1/0/20port link-type hybridport hybrid vlan 1 20 untagged port hybrid pvid vlan 20#interface Ethernet1/0/21port link-type hybridport hybrid vlan 1 21 untagged port hybrid pvid vlan 21#interface Ethernet1/0/22port link-type hybridport hybrid vlan 1 22 untagged port hybrid pvid vlan 22#interface Ethernet1/0/23port link-type hybridport hybrid vlan 1 23 untagged port hybrid pvid vlan 23#interface Ethernet1/0/24port link-type hybridport hybrid vlan 1 to 23 untagged #interface Ethernet1/1/1port link-type hybridport hybrid vlan 1 to 23 untagged #interface Ethernet1/1/2port link-type hybridport hybrid vlan 1 to 23 untagged shutdown#interface Ethernet1/2/1#interface Ethernet1/2/2 shutdown。

交换机端口隔离流控关闭标准模式交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素1. 概述1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。

通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

4.3 标准模式具有自学习、自适应的特点，能够根据网络的变化自动调整MAC位置区域表，保证数据包能够迅速、准确地传输。

4.4 与标准模式相对应的是静态模式，静态模式需要手动配置MAC位置区域表，不具备自学习、自适应的能力。

5. 个人观点和理解5.1 在构建高效网络通信中，交换机起着重要的作用，而端口隔离、流控关闭和标准模式则是构建高效网络通信的关键要素。

交换机：探索端口隔离、流控关闭及标准模式作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。

它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。

其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。

在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离1. 为什么需要端口隔离？当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。

通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。

通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭1. 流控的作用和原理流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。

而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。

而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

3. 流控关闭的应用场景流控关闭一般适用于一些对数据传输速率要求较高的场景，如视频直播、大文件传输等，可以通过关闭流控来提高数据传输速率。

三、标准模式1. 标准模式的定义和特点标准模式是交换机中的一个工作模式，它通常是指交换机按照IEEE标准进行配置和工作的模式。

在这种模式下，交换机会按照一定的规范来进行数据交换和转发，从而确保网络的稳定和数据的可靠传输。

实验二 交换机端口隔离及端口安全背景描述：假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。

住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。

一、:实验名称:交换机端口隔离二、实验目的:1. 熟练掌握网络互联设备-交换机的基本配置方法2. 理解和掌握Port Vlan 的配置方法三、实验设备：每一实验小组提供如下实验设备1、 实验台设备：计算机两台PC1和PC2（或者PC4和PC5）2、 实验机柜设备： S2126(或者S3550)交换机一台3、 实验工具及附件：网线测试仪一台 跳线若干四、实验原理及要求：1、Vlan(virual laocal area network,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

其最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具备一个物理网段所具备的特性。

相同的VLAN 内的主机可以相互直接访问，不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN 内进行传播，不能传输到其他VLAN 中。

2、PORT VLAN 是实现VLAN 的方式之一，PORT VLAN 是利用交换机的端口进行VLAN 的划分，一个普通端口只能属于一个VLAN 。

五、实验注意事项及要求：1、 实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。

2、 以电子文档形式提交实验报告。

3、 本次实验结果保留：是 √ 否4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。

5、 将交换机的配置信息以图片的形式保存到实验报告中。

6、 六、实验用拓扑图注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口七、实验具体步骤及实验结果记录：1、 实现两台主机的互联，确保在未划分VLAN 前两台PC 是可以通讯的（即F0/1和F0/2间是可以通讯的）。

华为交换机的操作指南系统信息：该页面主要用于显示和配置交换机的一些系统参数。

软件版本交换机当前使用软件的版本号。

MAC地址交换机的MAC地址。

IP地址交换机的IP地址，用户可以通过Web浏览器登录该IP地址，进行设备管理。

子网掩码交换机的子网掩码，缺省为255.255.255.0 。

网关交换机所在网段的网关地址，通过它可以对交换机远程管理。

如果用户不确定网关地址，请询问网络管理员或保留缺省配置。

老化时间交换机动态MAC地址的老化时间。

--------------------------------------------------------------------------------恢复/保存配置：交换机内部有EEPROM，用来保存交换机的配置信息。

恢复缺省配置恢复交换机出厂的缺省配置，并保存到EEPROM中。

用户需要注意用户名、密码、IP地址等信息都会恢复成出厂配置，以免无法登录。

保存当前配置交换机配置后，必须将当前配置写入EEPROM，才能在重新启动交换机后，配置还有效。

--------------------------------------------------------------------------------重启动：该页面允许用户远程重启交换机，如果用户重启交换机后需要保持当前的配置，应在重启交换机之前保存配置。

--------------------------------------------------------------------------------软件升级：升级交换机的软件需要进入维护模式。

期间最好不要中断升级过程，否则会导致升级失败。

如果在维护模式中不进行软件升级的操作，则需要手工重新启动交换机。

--------------------------------------------------------------------------------端口状态显示：显示交换机的端口状态。

通常，要实现交换机端口之间的隔离，最简单常用的方法就是划分VLAN （虚拟局域网）。

然而在具体应用中，往往又希望端口隔离后某些VALN 之间能灵活互访。

一般情况下，需要在二层交换机上实现隔离，然后在上联的三层交换机或路由器上实现VLAN 之间的互访。

实际上，只利用二层交换机同样可以完成隔离与互访的功能，这就是二层交换机Hybrid （混合）端口模式的应用。

1 交换机链路端口模式华为二层交换机一般有四种链路端口模式，分别是Access、Trunk 、Hybrid 端口模式。

1.1 Access 端口模式Access 类型的端口只能属于一个VLAN ，所以它的缺省VLAN 就是它所在的VLAN ，不用设置。

一般作为连接计算机的端口。

1.2 Trunk 端口模式Trunk 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，一般作为交换机之间连接的端口。

1.3 Hybrid 端口模式Hybrid 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid 端口模式的特点如下：Hybrid 属性是一种混和模式，实现了在一个untagged ( 不打标签) 端口允许报文以tagged （打标签）形式送出交换机。

同时，可以利用Hybrid 属性来定义分别属于不同VLAN 端口之间的互访，这是Access 和Trunk 端口所不能实现的。

Hybrid 端口还可以设置哪些VLAN 的报文打上标签，哪些不打标签，为实现对不同VLAN 报文执行不同处理流程打下了基础。

如果设置了端口的缺省VLAN ID ，当端口接收到不带VLAN Tag 的报文后，则将报文转发到属于缺省VLAN 的端口；当端口发送带有VLAN Tag 的报文时，如果该报文的VLAN ID 与端口缺省的VLAN ID 相同，则系统将去掉报文的VLAN Tag ，然后再发送该报文。

简述端口隔离的配置步骤与配置命令。

端口隔离是一种网络安全措施，用于限制网络流量在不同网络端口之间的传输。

通过配置端口隔离，可以提高网络的安全性和性能。

以下是配置端口隔离的步骤：1. 确定需要隔离的网络端口：首先需要确定哪些网络端口需要进行隔离。

这可以根据网络安全需求和业务需求来确定。

2. 配置网络设备：使用网络设备的管理界面进入配置模式。

这可以通过登录到网络设备的控制台或使用远程管理软件来完成。

3. 创建访问控制列表（ACL）：ACL是用于限制网络流量的规则集合。

根据网络端口的需求，创建适当的ACL来实现隔离。

ACL可以基于源IP地址、目标IP地址、端口号等进行设置。

4. 应用ACL到网络端口：将所创建的ACL应用到需要隔离的网络端口上。

这将使ACL生效并开始限制流经特定端口的流量。

5. 验证配置：通过发送数据包和监控网络流量来验证端口隔离的配置。

确保配置生效并且网络端口间的流量被正确隔离。

以下是一些常用的配置命令：1. 进入配置模式：在设备管理界面中输入命令“configure termina l”进入配置模式。

2. 创建ACL规则：使用命令“access-list <ACL名称> <允许/拒绝> <源IP地址> <目标IP地址> <协议> <源端口> <目标端口>”来创建ACL规则。

例如，“access-list ACL-1 permit any any tcp eq 80”表示允许任何源IP地址和目标IP地址的TCP流量通过端口80。

3. 将ACL应用到端口：使用命令“interface <端口名称>”进入特定的端口配置模式，然后使用命令“ip access-group <ACL名称> i n”或“ip access-group <ACL名称> out”将ACL应用到相应的端口上。

华为交换机配置教程华为交换机配置教程华为交换机是目前市场上最常用的网络设备之一，它可以提供可靠的网络通信服务。

本教程将向您介绍如何配置华为交换机。

1. 首先，连接华为交换机到电源，并将其连接到本地网络。

确保所有的连接都是正确的，并确保交换机的电源正常工作。

2. 连接到交换机的计算机上，打开一个浏览器，并输入交换机的IP地址。

这个地址通常是192.168.1.1，但也可能因您的网络设置而有所不同。

输入正确的地址后，按下回车键，您会看到华为交换机的登录页面。

3. 在登录页面上，输入正确的用户名和密码。

默认的用户名是admin，密码是admin。

如果您修改了用户名和密码，请使用修改后的凭据登录。

4. 成功登陆后，您将进入华为交换机的控制面板。

在这里，您可以进行各种配置和管理操作。

例如，您可以创建和删除VLAN（虚拟局域网），设置端口安全性，配置子接口等等。

5. 如果您想配置VLAN，在控制面板上找到“VLAN”选项，并点击进入。

在VLAN页面上，您可以创建新的VLAN，并将端口分配给它。

您可以根据需要创建多个VLAN，并将它们与不同的端口进行关联。

6. 如果您想设置端口安全性，找到“安全性”选项，并点击进入。

在这里，您可以配置交换机的端口安全策略，设置允许和禁止连接的MAC地址，以及设置一些其他相关的参数。

7. 如果您想配置子接口，在控制面板上找到“接口”选项，并点击进入。

在接口页面上，您可以配置交换机的子接口参数，如VLAN ID，IP地址等等。

这对于划分不同的网络和实现更高的网络可用性非常有用。

8. 配置完成后，记得保存并应用您的改动。

在控制面板上找到“保存”选项，并点击保存您的配置。

这样，您的配置将被应用到交换机上。

华为交换机的配置教程到此结束。

通过按照以上步骤进行配置，您将能够对华为交换机进行各种操作和管理。

同时，我们也建议您参考华为交换机的用户手册和官方文档，以获取更详细的信息和指导。

希望这个教程能对您有所帮助，并对您在配置华为交换机时更加自信和熟练。

华为以太网配置-端口隔离端口隔离：端口隔离是为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。

采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。

用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前有些设备只支持一个隔离组（以下简称单隔离组），由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。

有些设备支持多个隔离组（以下简称多隔离组），用户可以手工配置。

不同设备支持的隔离组数不同，请以设备实际情况为准。

缺点：端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

如下图: 要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

端口隔离拓扑图采用如下的思路配置端口隔离：配置PC1和PC2相连端口的端口隔离功能，使PC1与PC2不能互相访问。

数据准备为完成此配置例，需准备如下的数据：Switch与PC1之间连接的端口号。

Switch与PC2之间连接的端口号。

配置Switch的端口隔离模式为二层隔离三层互通（此配置为缺省配置）。

配置连接PC1、PC2、PC3的端口属于同一VLAN（缺省情况下属于VLAN1）。

配置连接PC1、PC2的端口属于同一隔离组（缺省情况下属于隔离组1）。

操作步骤首先测试可以ping通端口隔离ping配置端口隔离功能配置端口隔离模式为二层隔离三层互通。

<Huawei>system-view #进入系统视图[Huawei]sysname ITCHENYI-SW1 #你肯定知道这是在修改名字[ITCHENYI-SW1]port-isolate mode l2 #配置端口隔离模式为二层隔离三层互通。

配置GigabitEthernet 0/0/1的端口隔离功能。

交换实验一 虚拟局域网VLAN----交换机端口隔离实验名称：虚拟局域网VLAN ----交换机端口隔离试验目的：理解Port Vlan 的原理以及配置。

功能描述：在一台交换机上，通过划分Vlan ，实现属于不同Vlan 的端口不能互相访问，即端口隔离。

技术原理：VLAN 是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN 的最大特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具有一个物理网所具备的特性。

相同VLAN 内的主机可以互相直接访问，不同VLAN 间的主机之间互相访问必须经过路由器设备进行转发。

广播数据包可以在本VLAN 内进行传播，不能传输到其他的VLAN 中去。

实验设备： S2126G 一台，PC 机2台。

实验拓扑：如下图，交换机F0/5端口和PC1相连，F0/15端口和PC2相连。

实验步骤：步骤1. pc1和pc2的网卡二（测试网卡）配同一网段的ip 地址，如：pc1:10.0.0.1 pc2:10.0.0.2步骤2. pc1和pc2互ping (应该通，因为两台机器在同一缺省vlan1中)。

步骤3. 在同一交换机(s2126)上配置vlan10和vlan 20。

步骤4. 把5端口（pc1）和15端口（pc2）分别划入到vlan10和valn 20中。

步骤5. 验证：连在5端口和15端口的PC1和PC2 ping 不通(应该不能互访，因为不同的VLAN 间是隔离广播域的，体现VLAN 的特性)。

参考配置：交换机上的配置：s2126-1>enable 14password:s2126-1#configure terminal！以下是在交换机2126上建立vlan10和vlan 20。

s2126-1(config)#vlan 10s2126-(config-valn)name office1 ！给VLAN 起名称，可以省略这一步s2126-1(config-valn)#exits2126-1(config)#vlan 20s2126-1(config-valn)#name office2 ！给VLAN 起名称，可以省略这一步s2126-1(config-valn)#ends2126-1#show vlan！以下是把5端口（pc1）和15端口（pc2）分别划入到vlan10和valn 20中。

配置Aggregate Port2aggregate port本章描述如何在层接口上配置。

AP AP此外，当中的一条成员链路断开时，系统会将该链路的流量分配到中的,trap trap其他有效链路上去而且系统可以发送来警告链路的断开。

中包括链AP AP路相关的交换机、以及断开的链路的信息。

中一条链路收到的广播或者多播报文，将不会被转发到其他链路上。

9图-1 AP典型的配置理解aggregate port命令手工创建一个。

可以通过全局配置模式下的interface aggregateport AP当把接口加入一个不存在的时，会被自动创建。

您可以使用接口配置模式下的port-group命令AP AP将一个接口加入一个。

AP的编号从到。

AP16理解流量平衡根据报文的地址或地址进行流量平衡，即把流量平均地分配到的AP MAC IP AP成员链路中去。

流量平衡可以根据源地址、目的地址或源地址目的MAC MAC IP/IP地址对。

源地址流量平衡即根据报文的源地址把报文分配到各个链路中。

不同的MAC MAC主机，转发的链路不同，同一台主机的报文，从同一个链路转发（交换机中学到的地址表不会发生变化）。

目的地址流量平衡时即根据报文的目的地址把报文分配到各个链路中。

MAC MAC同一目的主机的报文，从同一个链路转发，不同目的主机的报文，从不同的链路转发。

你可以用aggregateport load-balance设定流量分配方式。

IP/IP IP IP源地址目的地址对流量平衡是根据报文源与目的进行流量分配。

目的目的对的报文通过不同的端口转发，同一源——IP不同的源——IP IPIP目的对的报文通过其它的链IP对的报文通过相同的链路转发，其它的源——IP路转AP发。

该流量平衡方式一般用于三层。

在此流量平衡模式下收到的如果是目的对来进行流量平衡。

二层报文，则自动根据源——MACMAC在下图中，一个同路由器进行通讯，路由器的地址只有一个，为了让路AP MAC由器与其它多台主机的通讯流量能被多个链路分担，应设置为根据目的进行MAC流量平衡。

1 端口隔离典型配置举例之五兆芳芳创作1.1 简介本章介绍了采取端口隔离特性，实现同一VLAN内端口之间的隔离.用户只需要将端口参加到隔离组中，就可以实现隔离组内端口之间数据的隔离.1.2 端口隔离限制设备间互访典型配置举例1.2.1 适用产品和版本1.2.2 组网需求如图1所示，Host A和Host B属同一VLAN，使用端口隔离功效实现Host A和Host B不克不及互访，但都可以与办事器Server及外部网络进行通信.图1 端口隔离典型配置组网图1.2.3 配置注意事项(1) 将端口参加隔离组前，请先确保端口的链路模式为bridge，即端口任务在二层模式下.(2) 同一端口不克不及同时配置为业务环回组成员端口和隔离组端口，即业务环回组成员端口不克不及参加隔离组.1.2.4 配置步调# 创建VLAN 100 ，并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4全部参加VLAN 100.<SwitchA> systemview[SwitchA] vlan 100[SwitchAvlan100] port gigabitethernet 1/0/1 togigabitethernet 1/0/4[SwitchAvlan100] quit# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2参加隔离组.[SwitchA] interface gigabitethernet 1/0/1[SwitchAGigabitEthernet1/0/1] portisolate enable[SwitchAGigabitEthernet1/0/1] quit[SwitchA] interface gigabitethernet 1/0/2[SwitchAGigabitEthernet1/0/2] portisolate enable[SwitchAGigabitEthernet1/0/2] quit1.2.5 验证配置# 使用display portisolate group命令显示Switch A上隔1.2.6 配置文件S5500SI系列互换机不支持port linkmode bridge命令.#vlan 100#interface GigabitEthernet1/0/1port linkmode bridgeport access vlan 100portisolate enable#interface GigabitEthernet1/0/2port linkmode bridgeport access vlan 100portisolate enable#interface GigabitEthernet1/0/3port linkmode bridgeport access vlan 100#interface GigabitEthernet1/0/4port linkmode bridgeport access vlan 100#1.3.2 组网需求如图2所示，某公司内部的研发部分、市场部分和行政部分辨别与Switch B上的端口相连.要求在使用端口隔离功效的情况下同时实现以下需求：各部分与外界网络互访.在每天8:00～12:00的时间段内，允许Host A拜访行政部分的办事器，拒绝其它的IP报文通过.在每天14:00～16:00的时间段内，允许Host B拜访行政部分的办事器，拒绝其它的IP报文通过.在其他时间段，各部分之间不克不及互访.图2 隔离端口间的定时互访组网图1.3.3 配置思路要实现隔离端口间的互访，需要在网关设备上使用当地代理ARP功效.然而，启用当地代理ARP之后，接入层设备上的隔离端口都可互访或某一IP地址规模内的设备可互访.因此，还需要结合网关设备的报文过滤功效以实现隔离端口间的定时拜访.1.3.4 配置步调1. Switch B的配置# 配置Switch B上的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN 100；并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3参加到隔离组中，以实现研发部分、市场部分和行政部分彼此之间二层报文不克不及互通.<SwitchB> systemview[SwitchB] vlan 100[SwitchBvlan100] port gigabitethernet 1/0/1 togigabitethernet 1/0/4[SwitchBvlan100] quit[SwitchB] interface gigabitethernet 1/0/1[SwitchBGigabitEthernet1/0/1] portisolate enable[SwitchBGigabitEthernet1/0/1] quit[SwitchB] interface gigabitethernet 1/0/2[SwitchBGigabitEthernet1/0/2] portisolate enable[SwitchBGigabitEthernet1/0/2] quit[SwitchB] interface gigabitethernet 1/0/3[SwitchBGigabitEthernet1/0/3] portisolate enable[SwitchBGigabitEthernet1/0/3] quit2. Switch A的配置# 在Switch A上配置VLAN接口100的IP地址为10.1.1.33，掩码为24位.<SwitchA> systemview[SwitchA] vlan 100[SwitchAvlan100] port gigabitethernet 1/0/4 [SwitchAvlan100] interface vlaninterface 100# 在Switch A上配置当地代理ARP，实现部分之间的三层互通.[SwitchAVlaninterface100] localproxyarp enable [SwitchAVlaninterface100] quit# 在Switch A上定义两个任务时间段，辨别是trname_1，周期时间规模为每天的8:00～12:00；trname_2，周期时间规模为每天的14:00～16:00.[SwitchA] timerange trname_1 8:00 to 12:00 daily[SwitchA] timerange trname_2 14:00 to 16:00 daily# 在Switch A上定义到行政部分办事器的三条拜访法则.允许Host A拜访行政部分的办事器. [SwitchA] acl number 3000[SwitchAacladv3000] rule permit ip source 10.1.1.1 0 destination 10.1.1.24 0 timerange trname_1允许Host B拜访行政部分的办事器. [SwitchAacladv3000] rule permit ip source 10.1.1.16 0 destination 10.1.1.24 0 timerange trname_2禁止各部分间的互访.[SwitchAacladv3000] quit# 在端口GigabitEthernet1/0/4上应用初级IPv4 ACL，以对该端口收到的IPv4报文进行过滤.[SwitchA] interface gigabitethernet 1/0/4[SwitchAGigabitEthernet1/0/4] packetfilter 3000 inbound[SwitchAGigabitEthernet1/0/4] quit1.3.5 验证配置# 使用display portisolate group命令显示Switch B上隔离组的信息.[SwitchB] display portisolate groupPortisolate group information:Uplink port support: NOGroup ID: 1Group members:GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitE thernet1/0/3# 显示Switch A上的配置信息在VLAN接口视图下通过display this命令显示VLAN 100的信息.[SwitchAVlaninterface100]display this#interface Vlaninterface100localproxyarp enable#return通过display acl 3000命令显示Switch A上的拜访法则.[SwitchA]display acl 3000Advanced ACL 3000, named none, 3 rules,ACL's step is 5rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 timerange trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 timerange trname_21.3.6 配置文件S5500SI系列互换机不支持port linkmode bridge命令.Switch B：#vlan 100#interface GigabitEthernet1/0/1port linkmode bridgeport access vlan 100portisolate enable#interface GigabitEthernet1/0/2port linkmode bridgeport access vlan 100portisolate enable#interface GigabitEthernet1/0/3port linkmode bridgeport access vlan 100portisolate enable#interface GigabitEthernet1/0/4port linkmode bridgeport access vlan 100#Switch A：#timerange trname_1_8:00 to 12:00 daily timerange trname_2 14:00 to 16:00 daily #acl number 3000rule 0 permit ip source 10.1.1.1 0 destination 10.1.1.24 0 timerange trname_1rule 5 permit ip source 10.1.1.16 0 destination 10.1.1.24 0 timerange trname_2#vlan 100#interface Vlaninterface 100localproxyarp enable#interface GigabitEthernet1/0/4port linkmode bridgeport access vlan 100packetfilter 3000 inbound#。