目前網絡中以太網技術的應用非常廣泛。然而，各種網絡攻擊的存在（例如針對ARP、DHCP等協議的攻擊），不僅造成了網絡合法用戶無法正常訪問網絡資源，而且對網絡信息安全構成嚴重威脅，因此以太網交換的安全性越來越重要。

本系列通過介紹常見的以太網交換安全技術，包括端口隔離、端口安全、MAC地址漂移檢測、風暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常見技術，以提高對以太網交換安全的理解和認識。

• 以太交換網絡中為了實現報文之間的二層隔離，用戶通常將不同的端口加入不同的VLAN，實現二層廣播域的隔離。
• 大型網絡中，業務需求種類繁多，只通過VLAN實現報文二層隔離，會浪費有限的VLAN資源。

如下圖所示，由于某種業務需求，PC1與PC2雖然屬于同一個VLAN ，但是要求它們在二層不能互通（但允許三層互通），PC1與PC3在任何情況下都不能互通，但是VLAN 3里的主機可以訪問VLAN 2里的主機。 那么該如何解決這個問題呢？

端口隔離技術概述

采用端口隔離功能，可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。

端口隔離技術原理

(1) 雙向隔離

同一端口隔離組的接口之間互相隔離，不同端口隔離組的接口之間不隔離。端口隔離只是針對同一設備上的端口隔離組成員，對于不同設備上的接口而言，無法實現該功能。

(2) 單向隔離

為了實現不同端口隔離組的接口之間的隔離，可以通過配置接口之間的單向隔離來實現。缺省情況下，未配置端口單向隔離。

(3) L2（二層隔離三層互通）

隔離同一VLAN內的廣播報文，但是不同端口下的用戶還可以進行三層通信。缺省情況下，端口隔離模式為二層隔離三層互通。

(4) ALL(二層三層都隔離)

同一VLAN的不同端口下用戶二三層徹底隔離無法通信。

采用二層隔離三層互通的隔離模式時，在VLANIF接口上使能VLAN內Proxy ARP功能，配置arp-proxy inner-sub-vlan-proxy enable，可以實現同一VLAN內主機通信。

端口隔離配置命令

(1) 使能端口隔離功能

[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]

缺省情況下，未使能端口隔離功能。如果不指定group-id參數時，默認加入的端口隔離組為1。

(2) (可選）配置端口隔離模式

Huawei] port-isolate mode { l2 | all }

缺省情況下，端口隔離模式為L2。

• L2 端口隔離模式為二層隔離三層互通。
• all 端口隔離模式為二層三層都隔離

(3) 配置端口單向隔離

[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>

am isolate命令用來配置當前接口與指定接口的單向隔離。在接口A上配置與接口B之間單向隔離后，接口A發送的報文不能到達接口B，但從接口B發送的報文可以到達接口A。缺省情況下，未配置端口單向隔離。

端口隔離配置舉例

如圖所示：PC1、PC2和PC3屬于VLAN 2，通過配置端口隔離，使PC3可以與PC1、PC2通信，但是PC1和PC2之間無法通信。

Switch配置如下：

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2 
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2

• display port-isolate group { group-id | all }，查看端口隔離組的配置。
• clear configuration port-isolate命令一鍵式清除設備上所有的端口隔離配置。
• port-isolate exclude vlan命令配置端口隔離功能生效時排除的VLAN。

端口隔離配置驗證

(1) 通過display port-isolate group group-number查看端口隔離組中的端口

[SW]display port-isolate group 2
  The ports in isolate group 2:
GigabitEthernet0/0/1     GigabitEthernet0/0/2

(2) 驗證同一端口隔離組下主機網絡不能互通。