华三交换机端口隔离配置(VLAN内二层互访隔离)

一、前言

华三(H3C)交换机的端口隔离是一种关键的二层端口级控制技术,它能在同一 VLAN 内部实现端口间的二层互访隔离,有效抑制广播风暴、提升网络安全与用户隔离性。

核心原理是将指定端口加入隔离组,组内端口之间相互禁止二层数据互通(包括单播、广播和组播),但不影响这些端口与上行口(连接路由器或服务器的端口)及组外端口的通信。这一技术常广泛应用于宿舍网、酒店、营业厅及监控网络等场景,解决同 VLAN 内设备无需互访的安全与带宽问题,且不改变 VLAN 原有配置,是企业网络进行精细化访问控制的常用手段。

为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

二、端口隔离配置

组网需求

某企业业务部门同一 VLAN 内的 PC1 与 PC2 通过端口隔离功能实现二层互访隔离,同时保证二者均可正常访问服务器及外部网络。

  1. 端口加入隔离组前,需先将其链路模式设置为 bridge,确保工作在二层模式。
  2. 同一端口不可同时加入业务环回组与隔离组,即业务环回组成员端口禁止配置端口隔离。

配置思路

  1. vlan trunk配置。

  2. 隔离组配置。

  3. 验证端口隔离组配置。

配置步骤

步骤 1 vlan trunk配置。

在SwitchA创建 VLAN 100 ,并配置用户网关,下联口设置Trunk链路放通VLAN 100。

复制代码
[SwitchA] interface Vlanif100
[SwitchA-Vlanif999] ip address 192.168.100.1 24
[SwitchA-Vlanif999]  quit
[SwitchB] interface XGigabitEthernet 1/0/1
[SwitchB-XGigabitEthernet1/0/1] port link-type trunk
[SwitchB-XGigabitEthernet1/0/1] port trunk allow-pass vlan 100
[SwitchB-XGigabitEthernet1/0/1] quit

在SwitchB创建 VLAN 100 ,并将端口 1/0/1、1/0/2、1/0/3全部加入 VLAN 100,上联口设置Trunk链路放通VLAN 100。

复制代码
[SwitchB] vlan 100
[SwitchB-vlan100] quit
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 100
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type access
[SwitchB-GigabitEthernet1/0/2] port default vlan 100
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface GigabitEthernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type access
[SwitchB-GigabitEthernet1/0/3] port default vlan 100
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface XGigabitEthernet 1/0/4
[SwitchB-XGigabitEthernet1/0/4] port link-type trunk
[SwitchB-XGigabitEthernet1/0/4] port trunk allow-pass vlan 100
[SwitchB-XGigabitEthernet1/0/4] quit

步骤 2 隔离组配置。

在SwitchB创建隔离组1,并将端口GE1/0/1、GE1/0/2 加入隔离组。

复制代码
[SwitchB] port-isolate group 1                               //创建隔离组1
[SwitchB] interface gigabitethernet 1/0/1   
[SwitchB-GigabitEthernet1/0/1] port-isolate enable group 1   //将接口加入隔离组1
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port-isolate enable group 1   //将接口加入隔离组1

步骤 3验证端口隔离组的配置信息。

复制代码
[SwitchB] display port-isolate group 1
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/1 GigabitEthernet1/0/2

注意事项:

VLAN的作用是隔离广播域,同一个VLAN在一个广播域,端口隔离就是将同一个VLAN不同接口再进行隔离(同vlan主机进行隔离,不能通信)。

  • 端口隔离的端口之间无法相互通信,但可以与上联口通信;VLAN是同VLAN ID的端口可以任意通信,不同VLAN之间不能直接通信。
  • 端口隔离的各个端口仍然处于同一IP段;VLAN则必须每个VLAN对应一个独立的IP段。
  • 端口隔离仅限于单台交换机,即无法控制通过上联口互联的两台交换机之间的隔离端口的通信;VLAN可以跨越多台交换机,只要VLAN ID不同,就无法直接通信。
  • 上联口无法区分端口隔离的数据来自哪个端口,但是可以区分VLAN的数据归属于哪个VLAN。
相关推荐
tntxia4 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt6 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31114 天前
VPN 与内网穿透
安全
Mr_愚人派15 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展