四交换机端口隔离

实验二、交换机端口隔离一、实验目的：理解Port Vlan的原理以及配置，掌握交换机端口隔离划分虚拟局域网。

二、实验拓扑图：交换机端口隔离实验1、实验拓扑及说明2、实验步骤：（1）按照实验拓扑图完成各设备的互联，进行各PC机及服务器的IP设置，确保各主机可以通讯。

（2）创建Vlan，隔离端口，实现分属不同VLAN内的同网段PC机的访问需求。

其相关配置如下：创建VLAN：sysname Huaweiundo info-center enablevlan batch 10 20 30 100cluster enablentdp enablendp enabledrop illegal-mac alarmdiffserv domain defaultdrop-profile defaultaaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http交换机Hybird端口配置：interface Vlanif1interface MEth0/0/1interface Ethernet0/0/1port hybrid pvid vlan 10port hybrid untagged vlan 10 20 30 100interface Ethernet0/0/2port hybrid pvid vlan 20port hybrid untagged vlan 10 20 100interface Ethernet0/0/3port hybrid pvid vlan 30port hybrid untagged vlan 10 30 100interface GigabitEthernet0/0/1port hybrid pvid vlan 100port hybrid untagged vlan 10 20 30 100interface GigabitEthernet0/0/2interface NULL0user-interface con 0user-interface vty 0 4return（3）查看已配置的VLAN信息：display Port Vlandisplay Port Vlan （4）通过Ping命令验证测试各主机是否按要求访问，并记录结果实验测试及结果：（1）实验数据：PC1、PC2、PC3、Server分属于Vlan10、20、30、100；IP地址：PC1:10.1.1.1 PC2:10.1.1.2PC3:10.1.1.3 Server:10.1.1.254（2）划分VLAN前各主机都是可以Ping通的（3）查看VLAN信息结果：（4）连通性测试：PC1 Ping PC2、PC3、Server可以通，如下图：同样，PC2、PC3与Server可以互相通信。

交换机中端口隔离原理嘿，小伙伴们！今天咱们来聊一聊交换机中的端口隔离原理，这可有点像住在公寓里，每个房间都有自己的小世界一样呢。

首先呢，咱们得知道交换机是啥。

简单来说，交换机就像是一个超级管理员，它负责把网络信号准确地送到各个设备那里。

那端口呢，就是设备连接到这个超级管理员的小通道。

端口隔离原理啊，就像是在这个交换机里建了一道道看不见的小墙。

比如说，有一堆设备都连着交换机，端口隔离就是让某些端口之间不能直接通信，就像住在公寓里，虽然大家都在同一栋楼，但是有些房间之间被设置了特殊的权限，不能随便串门。

从技术上讲呢，交换机实现端口隔离主要是通过软件配置的方式。

就好像在管理员的小本本上写着：“这个端口和那个端口，你们不能互相聊天哦。

”交换机内部有一个小小的规则表，当一个端口想要给另一个端口发送信息的时候，这个规则表就会跳出来检查，看看这两个端口之间有没有被设置隔离。

如果被隔离了，那就像快递员被拦在门口一样，信息就送不过去啦。

打个比方吧，假如你有好多玩具，每个玩具都有一个对应的小盒子（端口）放在一个大柜子（交换机）里。

端口隔离就像是给某些小盒子加上了锁，只有特定的钥匙（符合规则的通信）才能打开。

比如说，红色的玩具盒子和蓝色的玩具盒子被设置了隔离，那红色盒子里的小机器人就不能直接跑到蓝色盒子里去玩啦。

那为啥要有端口隔离呢？这就和我们生活中的隐私和安全有关啦。

在一个大的网络环境里，就像在一个小区里，有些设备的信息是比较私密的，不想被其他设备随便访问。

比如说公司里的财务部门电脑，它的信息很重要，就可以通过端口隔离把它和其他普通部门的电脑隔离开，这样就更安全啦。

再比如说，在学校的机房里，老师的电脑可能存储着考试题目之类的重要资料，通过端口隔离，就可以避免学生的电脑不小心访问到这些资料，就像在教室里划分出了不同的小区域一样。

交换机的端口隔离原理其实并不复杂，它就是通过设置规则，在端口之间建立起一种特殊的关系，让一些端口之间不能自由通信，从而达到保护隐私、保障安全等目的。

区别于参考文档，总结一下实际配置情况：
1、通过PC端XP/win7的超级终端连接交换机的console口，连接成功后进行配置，具体图
文步骤见独立文档。

（注意：交换机自带的配置线为串口-RJ45线，笔记本若无串口需要通过usb转串口线连接，连接前注意安装驱动）
2、配置端口隔离：
1）进入系统视图：<Huawei>system-view
2）进入接口视图：[Huawei] interface GigabitEthernet 0/0/1
3）将该端口配置为隔离端口：
[Huawei -GigabitEthernet0/0/1] port-isolate enable 4）退出：[Huawei -GigabitEthernet0/0/1]quit
5）将其他目标端口配置为隔离端口，如GigabitEthernet0/0/2、GigabitEthernet0/0/3等，配置命令完全一样
6）配置完成后可对相应隔离端口进行ping测试，可以发现隔离端口之间数据传输已经相互隔离
3、注意点：
1）实际上还有个端口隔离组的概念，每个隔离组相互独立，只有同一个隔离组的端口之间才有“隔离”的效果，不同隔离组之间的端口即使开启了端口隔离也能进行数据互通，但事实上，默认配置下，所有端口都在同一个端口隔离组“1”，所以若无需增加隔离组直接配置即可。

2）关闭端口隔离：undo port-isolate enable（进入相应接口视图）。

交换机端口隔离流控关闭标准模式交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素1. 概述1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。

通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

4.3 标准模式具有自学习、自适应的特点，能够根据网络的变化自动调整MAC位置区域表，保证数据包能够迅速、准确地传输。

4.4 与标准模式相对应的是静态模式，静态模式需要手动配置MAC位置区域表，不具备自学习、自适应的能力。

5. 个人观点和理解5.1 在构建高效网络通信中，交换机起着重要的作用，而端口隔离、流控关闭和标准模式则是构建高效网络通信的关键要素。

交换机端口隔离实验名称：交换机端口隔离。

实验目的：理解Port Vlan的配置。

背景描述：假设此交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/5口；住户PC2连接在交换机的0/15口。

现要实现各家各户端口隔离。

技术原理：VLAN是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN具备了一个物理网段所具备的特性。

相同VLAN内的主机可以互相直接访问，不同VLAN间的主机之间互相访问必须经由路由设备进行转发。

广播数据包只可以在本VLAN内进行传播，不能传输到其它VLAN中。

Port Vlan是实现VLAN的方式之一，Port Vlan是利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN。

实现功能：通过划分Port Vlan实现本交换端口隔离。

实验设备：S2960(1台)、PC机（2台）、直连线（2条）实验拓扑：S2960F0/5 F0/15IP：192.168.10.1 IP：192.168.10.2PC1 VLAN10 PC2 VLAN20实验步骤：步骤1：测试在未划分VLAN前两台PC互相ping可以通。

步骤2：创建VLAN。

Switch>enable ！进入特权模式Switch#configure terminal ！进入全局配置模式Switch(config)#vlan 10 ！创建vlan 10Switch(config-vlan)#name test10 ！将vlan 10命名为test 10 Switch(config-vlan)#exitSwitch(config)#vlan 20 ！创建vlan 20Switch(config-vlan)#name test20 ！将vlan 10命名为test 20 验证测试：Switch#show vlan ！查看已配置的VLAN信息步骤3：将接口分配到VLANSwitch>enable ！将f0/5端口加入vlan 10中Switch#configure terminalSwitch(config)#interface fastethernet 0/5Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet 0/15Switch(config-if)#switchport access vlan 20步骤4：测试两台PC相互ping不通Switch#show vlan ！查看已配置的VLAN信息注意事项：1、交换机所有的端口在默认的情况下属于ACCESS端口，可直接加入某一VLAN，利用switchport modeaccess/trunk命令可以更改端口的VLAN模式。

交换机端⼝隔离port-isolate交换机端⼝隔离port-isolate⼀公司有三个部门，分别有三台PC。

根据要求实现，PC1与PC2禁⽌互相访问，PC1可以访问PC3，但PC3不能访问PC1，PC2与PC3之间可以互相访问。

根据需求分析，PC1与PC2之间端⼝隔离，PC1与PC3之间单向隔离（模拟器没有实现），PC2与PC3之间不隔离。

脚本：#VLAN 2#interface GigabitEthernet0/0/1port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/2port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/3port link-type accessport default vlan 2am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。

#在此情况下，PC1与PC2之间隔离了⼆层，但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时，在GI0/0/1抓包：从抓包信息可以看到，GI0/0/1有ARP报⽂，⽽GI0/0/2没有ARP 报⽂。

在SW上做VLAN2的⽹关，interface Vlanif2ip address 10.10.10.250 255.255.255.0arp-proxy inner-sub-vlan-proxy enablePC1 发送ARP请求PC2的MAC，VLANIF 2作为ARP Proxy代替PC2发送ARP应答报⽂。

PC1收到VLANIF2 的相应后，把APR表中PC2的MAC修改未VLANIF２的MAC。

华为交换机端口安全详解--端口隔离、环路检测与端口安全一、端口隔离--port-isolate组网需求如图1所示，要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

配置端口隔离功能# 配置端口隔离模式为二层隔离三层互通。

<Quidway> system-view[Quidway] port-isolate mode l2# 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。

<Quidway> system-view[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] port-isolate enable group 1[Quidway-Ethernet0/0/1] quit[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2] port-isolate enable group 1[Quidway-Ethernet0/0/2] quitethernet 0/0/3 无需加入端口隔离组，处于隔离组的各个端口间不能通信查看当前配置disp cur#sysname Quidway#interface Ethernet0/0/1port-isolate enable group 1#interface Ethernet0/0/2port-isolate enable group 1#interface Ethernet0/0/3#return验证配置结果：PC1和PC2不能互相ping通，PC1和PC3可以互相ping通，PC2和PC3可以互相ping通。

实现了需求。

二、端口防环--port-security适用与华为交换机，防止下级环路，自动shutdown下级有环路的端口。

<Huawei>system view#loopback-detect enable 全局模式下，启用环路检测功能# interface GigabitEthernet0/0/1loopback-detect action shutdown 如果下级有环路，shutdown本端口# interface GigabitEthernet0/0/2loopback-detect action shutdown# interface GigabitEthernet0/0/3loopback-detect action shutdown#……那如何检测与识别环路并定位呢？详见这个：https:///view/1599b6a22cc58bd63086bd5d.html三、端口安全--port-security在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC的的安全。

交换机：探索端口隔离、流控关闭及标准模式作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。

它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。

其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。

在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离1. 为什么需要端口隔离？当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。

通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。

通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭1. 流控的作用和原理流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。

而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。

而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

3. 流控关闭的应用场景流控关闭一般适用于一些对数据传输速率要求较高的场景，如视频直播、大文件传输等，可以通过关闭流控来提高数据传输速率。

三、标准模式1. 标准模式的定义和特点标准模式是交换机中的一个工作模式，它通常是指交换机按照IEEE标准进行配置和工作的模式。

在这种模式下，交换机会按照一定的规范来进行数据交换和转发，从而确保网络的稳定和数据的可靠传输。