目录
一、端口隔离核心概念
端口隔离是一种二层安全技术,通过逻辑分组限制同一VLAN内指定端口间的通信,无需额外VLAN划分。其核心规则如下:
- 隔离组内规则:同组端口间禁止二层通信(如ARP、广播),但允许通过三层设备转发。
- 跨组规则:不同隔离组端口间或隔离组与非隔离组端口间默认允许通信。
- 流量控制:隔离组内端口的广播/组播/未知单播流量仅向上行端口转发,抑制广播风暴。
隔离模式差异:
- L2模式(默认):仅阻断二层通信,三层流量可经路由器转发。适用于需共享网关但隔离用户间直连的场景。
- ALL模式:彻底阻断二三层通信,隔离组内端口完全独立。适用于高安全需求环境,如金融或政府网络。
二、应用场景与配置示例
1、酒店网络隔离
- 需求:客房终端互访限制,但允许访问互联网。
- 配置:所有客房端口加入同一隔离组(L2模式),上行口连接网关不隔离。
2、校园网防ARP欺骗
- 需求:阻断学生终端间ARP攻击,保障服务器访问。
- 配置:学生端口启用隔离组,服务器端口不隔离,通过三层交换机互联。
3、公共Wi-Fi安全
- 需求:访客终端间完全隔离,仅允许外网访问。
- 配置:启用ALL模式隔离组,上行口连接防火墙控制外网权限。
**4、**小区宽带网络
在住宅宽带网络中,用户通常共享同一接入设备。端口隔离可防止邻居间的ARP欺骗、私接路由等行为,保障用户隐私和带宽公平性。
三、配置示例
**1、**场景与拓扑
- 交换机:华为 S5735-L48T4S-A
- 上行口:
GE0/0/48上联核心 / 路由器(网关) - 用户口:
GE0/0/1 ~ GE0/0/20接电脑 / 手机 / 摄像头 - 所有用户口属于:VLAN 10
需求:
- 隔离组 1:GE0/0/1~10 → 组内隔离
- 隔离组 2:GE0/0/11~20 → 组内隔离
- 组 1 和 组 2 之间可以互相访问
- 都能访问网关
2、具体配置命令
java
# 进入系统视图
system-view
# 1. 创建业务VLAN(如果已存在可跳过)
vlan 10
quit
# 2. 配置端口隔离模式
# l2 = 仅二层隔离,三层可互通(默认)
# all = 二三层全部隔离(推荐,彻底隔离用户)
port-isolate mode all
# 隔离组1
port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
port link-type access
port default vlan 10
port-isolate enable group 1
quit
# 隔离组2
port-group group-member GigabitEthernet 0/0/11 to GigabitEthernet 0/0/20
port link-type access
port default vlan 10
port-isolate enable group 2
quit
# 4. 配置上联口(千万不要加 port-isolate)
interface GigabitEthernet 0/0/48
port link-type trunk
port trunk allow-pass vlan 10
quit3、最终实现的效果
- 组内:不通
- 组间:互通
- 都能上网
4、验证命令(必须会)
java
# 1. 查看隔离模式(all / l2)
display port-isolate mode
# 2. 查看隔离组1有哪些端口
display port-isolate group 1
# 3. 查看端口VLAN与状态
display port vlan
# 4. 查看完整配置
display current-configuration | include port-isolate四、注意事项
- 上行口绝对不能加入 port-isolate,一加就整组断网、无法上网。
- 端口隔离只对同一台交换机有效,跨交换机端口隔离不生效,需要用 MUX VLAN / ACL。
- 隔离只对同一 VLAN 有效,不同 VLAN 本来就三层隔离,不需要 port-isolate。
- 必须在物理成员口配置 port-isolate,不能在 Eth-Trunk 口配。
- 不要和 MUX VLAN 混用,会出现逻辑冲突,行为不可控