一、端口隔離簡介

為了實現端口間的二層隔離，可以將不同的端口加入不同的 VLAN，但 VLAN 資源有限。採用端口

隔離特性，用戶只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層隔離，而不關心

這些端口所屬 VLAN，從而節省 VLAN 資源。

隔離組內的端口與未加入隔離組的端口之間二層流量雙向互通。

1、配置隔離組

設備支持多個隔離組，用戶可以手工配置。隔離組內可以加入的端口數量沒有限制。

2、端口隔離顯示和維護

在完成上述配置後，在任意視圖下執行 display 命令可以顯示配置後端口隔離的運行情況，通過查

看顯示信息驗證配置的效果。display port-isolate group [ group-number ]

二、端口隔離典型配置舉例

1、組網需求

小區用戶Host A、Host B、Host C分別與Device的端口Ten-GigabitEthernet1/0/1、

Ten-GigabitEthernet1/0/2 、 Ten-GigabitEthernet1/0/3 相 連 ， Device 設 備 通 過

Ten-GigabitEthernet1/0/4 端口與外部網絡相連。現需要實現小區用戶Host A、Host B和Host C彼此

之間二層報文不能互通，但可以和外部網絡通信。

2、組網圖

3. 配置步驟

# 創建隔離組 2。

<device> system-view/<device>

[Device] port-isolate group 2

# 將端口 Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3 加入隔

離組 2。

[Device] interface ten-gigabitethernet 1/0/1

[Device-Ten-GigabitEthernet1/0/1] port-isolate enable group 2

[Device-Ten-GigabitEthernet1/0/1] quit

[Device] interface ten-gigabitethernet 1/0/2

[Device-Ten-GigabitEthernet1/0/2] port-isolate enable group 2

[Device-Ten-GigabitEthernet1/0/2] quit

[Device] interface ten-gigabitethernet 1/0/3

[Device-Ten-GigabitEthernet1/0/3] port-isolate enable group 2

4. 驗證配置

# 顯示隔離組 2 中的信息。

[Device] display port-isolate group 2

Port isolation group information:

Group ID: 2

Group members:

Ten-GigabitEthernet1/0/1

Ten-GigabitEthernet1/0/2

Ten-GigabitEthernet1/0/3

以 上 信 息 顯 示 Device 上 的 端 口 Ten-GigabitEthernet1/0/1 、 Ten-GigabitEthernet1/0/2 、

Ten-GigabitEthernet1/0/3 已經加入隔離組 2，從而實現二層隔離，分別對應的 Host A、Host B 和

Host C 彼此之間不能 Ping 通。

閱讀更多 專注分享網絡技術 的文章

關鍵字: 通信 二層 交換機