目前網(wǎng)絡中以太網(wǎng)技術(shù)的應用非常廣泛。然而，各種網(wǎng)絡攻擊的存在（例如針對ARP、DHCP等協(xié)議的攻擊），不僅造成了網(wǎng)絡合法用戶無法正常訪問網(wǎng)絡資源，而且對網(wǎng)絡信息安全構(gòu)成嚴重威脅，因此以太網(wǎng)交換的安全性越來越重要。

本系列通過介紹常見的以太網(wǎng)交換安全技術(shù)，包括端口隔離、端口安全、MAC地址漂移檢測、風暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常見技術(shù)，以提高對以太網(wǎng)交換安全的理解和認識。

• 以太交換網(wǎng)絡中為了實現(xiàn)報文之間的二層隔離，用戶通常將不同的端口加入不同的VLAN，實現(xiàn)二層廣播域的隔離。
• 大型網(wǎng)絡中，業(yè)務需求種類繁多，只通過VLAN實現(xiàn)報文二層隔離，會浪費有限的VLAN資源。

如下圖所示，由于某種業(yè)務需求，PC1與PC2雖然屬于同一個VLAN ，但是要求它們在二層不能互通（但允許三層互通），PC1與PC3在任何情況下都不能互通，但是VLAN 3里的主機可以訪問VLAN 2里的主機。 那么該如何解決這個問題呢？

端口隔離技術(shù)概述

采用端口隔離功能，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。

端口隔離技術(shù)原理

(1) 雙向隔離

同一端口隔離組的接口之間互相隔離，不同端口隔離組的接口之間不隔離。端口隔離只是針對同一設備上的端口隔離組成員，對于不同設備上的接口而言，無法實現(xiàn)該功能。

(2) 單向隔離

為了實現(xiàn)不同端口隔離組的接口之間的隔離，可以通過配置接口之間的單向隔離來實現(xiàn)。缺省情況下，未配置端口單向隔離。

(3) L2（二層隔離三層互通）

隔離同一VLAN內(nèi)的廣播報文，但是不同端口下的用戶還可以進行三層通信。缺省情況下，端口隔離模式為二層隔離三層互通。

(4) ALL(二層三層都隔離)

同一VLAN的不同端口下用戶二三層徹底隔離無法通信。

采用二層隔離三層互通的隔離模式時，在VLANIF接口上使能VLAN內(nèi)Proxy ARP功能，配置arp-proxy inner-sub-vlan-proxy enable，可以實現(xiàn)同一VLAN內(nèi)主機通信。

端口隔離配置命令

(1) 使能端口隔離功能

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

缺省情況下，未使能端口隔離功能。如果不指定group-id參數(shù)時，默認加入的端口隔離組為1。

(2) (可選）配置端口隔離模式

Huawei] port-isolate mode { l2 | all }

缺省情況下，端口隔離模式為L2。

• L2 端口隔離模式為二層隔離三層互通。
• all 端口隔離模式為二層三層都隔離

(3) 配置端口單向隔離

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

am isolate命令用來配置當前接口與指定接口的單向隔離。在接口A上配置與接口B之間單向隔離后，接口A發(fā)送的報文不能到達接口B，但從接口B發(fā)送的報文可以到達接口A。缺省情況下，未配置端口單向隔離。

端口隔離配置舉例

如圖所示：PC1、PC2和PC3屬于VLAN 2，通過配置端口隔離，使PC3可以與PC1、PC2通信，但是PC1和PC2之間無法通信。

Switch配置如下：

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2

• display port-isolate group { group-id | all }，查看端口隔離組的配置。
• clear configuration port-isolate命令一鍵式清除設備上所有的端口隔離配置。
• port-isolate exclude vlan命令配置端口隔離功能生效時排除的VLAN。

端口隔離配置驗證

(1) 通過display port-isolate group group-number查看端口隔離組中的端口

[SW]display port-isolate group 2
  The ports in isolate group 2:
GigabitEthernet0/0/1     GigabitEthernet0/0/2

(2) 驗證同一端口隔離組下主機網(wǎng)絡不能互通。