交换机端口隔离

实验二、交换机端口隔离一、实验目的：理解Port Vlan的原理以及配置，掌握交换机端口隔离划分虚拟局域网。

二、实验拓扑图：交换机端口隔离实验1、实验拓扑及说明2、实验步骤：（1）按照实验拓扑图完成各设备的互联，进行各PC机及服务器的IP设置，确保各主机可以通讯。

（2）创建Vlan，隔离端口，实现分属不同VLAN内的同网段PC机的访问需求。

其相关配置如下：创建VLAN：sysname Huaweiundo info-center enablevlan batch 10 20 30 100cluster enablentdp enablendp enabledrop illegal-mac alarmdiffserv domain defaultdrop-profile defaultaaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http交换机Hybird端口配置：interface Vlanif1interface MEth0/0/1interface Ethernet0/0/1port hybrid pvid vlan 10port hybrid untagged vlan 10 20 30 100interface Ethernet0/0/2port hybrid pvid vlan 20port hybrid untagged vlan 10 20 100interface Ethernet0/0/3port hybrid pvid vlan 30port hybrid untagged vlan 10 30 100interface GigabitEthernet0/0/1port hybrid pvid vlan 100port hybrid untagged vlan 10 20 30 100interface GigabitEthernet0/0/2interface NULL0user-interface con 0user-interface vty 0 4return（3）查看已配置的VLAN信息：display Port Vlandisplay Port Vlan （4）通过Ping命令验证测试各主机是否按要求访问，并记录结果实验测试及结果：（1）实验数据：PC1、PC2、PC3、Server分属于Vlan10、20、30、100；IP地址：PC1:10.1.1.1 PC2:10.1.1.2PC3:10.1.1.3 Server:10.1.1.254（2）划分VLAN前各主机都是可以Ping通的（3）查看VLAN信息结果：（4）连通性测试：PC1 Ping PC2、PC3、Server可以通，如下图：同样，PC2、PC3与Server可以互相通信。

交换机中端口隔离原理嘿，小伙伴们！今天咱们来聊一聊交换机中的端口隔离原理，这可有点像住在公寓里，每个房间都有自己的小世界一样呢。

首先呢，咱们得知道交换机是啥。

简单来说，交换机就像是一个超级管理员，它负责把网络信号准确地送到各个设备那里。

那端口呢，就是设备连接到这个超级管理员的小通道。

端口隔离原理啊，就像是在这个交换机里建了一道道看不见的小墙。

比如说，有一堆设备都连着交换机，端口隔离就是让某些端口之间不能直接通信，就像住在公寓里，虽然大家都在同一栋楼，但是有些房间之间被设置了特殊的权限，不能随便串门。

从技术上讲呢，交换机实现端口隔离主要是通过软件配置的方式。

就好像在管理员的小本本上写着：“这个端口和那个端口，你们不能互相聊天哦。

”交换机内部有一个小小的规则表，当一个端口想要给另一个端口发送信息的时候，这个规则表就会跳出来检查，看看这两个端口之间有没有被设置隔离。

如果被隔离了，那就像快递员被拦在门口一样，信息就送不过去啦。

打个比方吧，假如你有好多玩具，每个玩具都有一个对应的小盒子（端口）放在一个大柜子（交换机）里。

端口隔离就像是给某些小盒子加上了锁，只有特定的钥匙（符合规则的通信）才能打开。

比如说，红色的玩具盒子和蓝色的玩具盒子被设置了隔离，那红色盒子里的小机器人就不能直接跑到蓝色盒子里去玩啦。

那为啥要有端口隔离呢？这就和我们生活中的隐私和安全有关啦。

在一个大的网络环境里，就像在一个小区里，有些设备的信息是比较私密的，不想被其他设备随便访问。

比如说公司里的财务部门电脑，它的信息很重要，就可以通过端口隔离把它和其他普通部门的电脑隔离开，这样就更安全啦。

再比如说，在学校的机房里，老师的电脑可能存储着考试题目之类的重要资料，通过端口隔离，就可以避免学生的电脑不小心访问到这些资料，就像在教室里划分出了不同的小区域一样。

交换机的端口隔离原理其实并不复杂，它就是通过设置规则，在端口之间建立起一种特殊的关系，让一些端口之间不能自由通信，从而达到保护隐私、保障安全等目的。

实验报告课程名称计算机网络基础实验项目局域网专业班级姓名学号指导教师成绩日期虚拟局域网VLAN第一部分：交换机端口隔离【实验名称】交换机端口隔离.【实验目的】理解Port Vlan的配置.【实现功能】通过PORT VLAN实现本交换机端口隔离. （通过虚拟局域网技术可以隔离网络风暴，提高网络的性能，降低无用的网络开销。

并能提高网络的安全性,保密性。

）【实现拓扑】【实验步骤】步骤1.在未划VLAN前任两台PC互相PING可以通.switch#configure terminal !进入交换机全局配置模式switch(config)#vlan 10 ！创建VLAN10switch(config-vlan)#name test10 ！将其命名为test10 switch(config-vlan)#exit !退出VLAN 10switch(config)#vlan 20 ！创建VLAN 20switch(config-vlan)#name test20 ！将其命名为test 20 switch(config)#vlan 30 ！创建VLAN 20switch(config-vlan)#name test30 ！将其命名为test 30 验证测试switch#show vlan10 test10 active20 test20 active30 test30 active步骤2.将接口分配到VLAN.switch(config)#interface fa0/1switch(config)#switch mode accessswitch(config-if)#switch access vlan 10switch(config-if)#exitswitch(config)#interface fa 0/3switch(config)#switch mode accessswitch(config-if)#switch access vlan 20switch(config)#interface fa 0/2switch(config)#switch mode accessswitch(config-if)#switch access vlan 30步骤3.测试任两台PC互相PING不通.验证测试switchA#show vlan10 test10 active Fa0/120 test20 active Fa0/330 test30 active Fa0/2第二部分：跨交换机实现VLAN【实验名称】跨交换机实现VLAN.【实验目的】理解VLAN如何跨交换机实现.【实现功能】使在同一VLAN里的计算机系统能快乐交换机进行相互通信,而在不同VLAN 里的计算机系统不能进行相互通信.【实验拓扑】【实验步骤】步骤1.在交换机Switch0上创建VLAN10,并将0/1端口划分到VLAN 10 中.Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#name salesSwitch(config-vlan)#exitSwitch(config)#interface fa 0/1 !进入接口配置模式。

华为S2126交换机端口隔离配置interface Ethernet1/0/1port link-type hybridport hybrid vlan 1 to 23 untagged#interface Ethernet1/0/2port link-type hybridport hybrid vlan 1 to 2 untaggedport hybrid pvid vlan 2#interface Ethernet1/0/3port link-type hybridport hybrid vlan 1 3 untaggedport hybrid pvid vlan 3#interface Ethernet1/0/4port link-type hybridport hybrid vlan 1 4 untaggedport hybrid pvid vlan 4#interface Ethernet1/0/5port link-type hybridport hybrid vlan 1 5 untaggedport hybrid pvid vlan 5#interface Ethernet1/0/6port link-type hybridport hybrid vlan 1 6 untaggedport hybrid pvid vlan 6interface Ethernet1/0/7port link-type hybridport hybrid vlan 1 7 untagged port hybrid pvid vlan 7#interface Ethernet1/0/8port link-type hybridport hybrid vlan 1 8 untagged port hybrid pvid vlan 8#interface Ethernet1/0/9port link-type hybridport hybrid vlan 1 9 untagged port hybrid pvid vlan 9#interface Ethernet1/0/10port link-type hybridport hybrid vlan 1 10 untagged port hybrid pvid vlan 10#interface Ethernet1/0/11port link-type hybridport hybrid vlan 1 11 untagged port hybrid pvid vlan 11#interface Ethernet1/0/12port link-type hybridport hybrid vlan 1 12 untagged port hybrid pvid vlan 12interface Ethernet1/0/13port link-type hybridport hybrid vlan 1 13 untagged port hybrid pvid vlan 13#interface Ethernet1/0/14port link-type hybridport hybrid vlan 1 14 untagged port hybrid pvid vlan 14#interface Ethernet1/0/15port link-type hybridport hybrid vlan 1 15 untagged port hybrid pvid vlan 15#interface Ethernet1/0/16port link-type hybridport hybrid vlan 1 16 untagged port hybrid pvid vlan 16#interface Ethernet1/0/17port link-type hybridport hybrid vlan 1 17 untagged port hybrid pvid vlan 17#interface Ethernet1/0/18port link-type hybridport hybrid vlan 1 18 untagged port hybrid pvid vlan 18interface Ethernet1/0/19port link-type hybridport hybrid vlan 1 19 untagged port hybrid pvid vlan 19#interface Ethernet1/0/20port link-type hybridport hybrid vlan 1 20 untagged port hybrid pvid vlan 20#interface Ethernet1/0/21port link-type hybridport hybrid vlan 1 21 untagged port hybrid pvid vlan 21#interface Ethernet1/0/22port link-type hybridport hybrid vlan 1 22 untagged port hybrid pvid vlan 22#interface Ethernet1/0/23port link-type hybridport hybrid vlan 1 23 untagged port hybrid pvid vlan 23#interface Ethernet1/0/24port link-type hybridport hybrid vlan 1 to 23 untagged #interface Ethernet1/1/1port link-type hybridport hybrid vlan 1 to 23 untagged #interface Ethernet1/1/2port link-type hybridport hybrid vlan 1 to 23 untagged shutdown#interface Ethernet1/2/1#interface Ethernet1/2/2 shutdown。

交换机端口隔离流控关闭标准模式交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素1. 概述1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。

通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

4.3 标准模式具有自学习、自适应的特点，能够根据网络的变化自动调整MAC位置区域表，保证数据包能够迅速、准确地传输。

4.4 与标准模式相对应的是静态模式，静态模式需要手动配置MAC位置区域表，不具备自学习、自适应的能力。

5. 个人观点和理解5.1 在构建高效网络通信中，交换机起着重要的作用，而端口隔离、流控关闭和标准模式则是构建高效网络通信的关键要素。

掌握目标1、实现VLAN内的端口隔离2、实现VLAN间的端口隔离拓扑图其中PC1与PC2在同一个网段，而PC3在另外一个网段，默认情况下是都可以互访的。

更多资料尽在网络之路空间;【把学习当做生活，每天都在进步！】技术博客 /1914756383/ /KUCqX2QQ邮件订阅 /KUCqX21、实现VLAN内的端口隔离interface GigabitEthernet0/0/1port-isolate enable group 1#interface GigabitEthernet0/0/2port-isolate enable group 1#interface GigabitEthernet0/0/3port link-type accessport default vlan 2技术博客 /1914756383/port-isolate enable group 1当配置了端口隔离后，可以看到，同一VLAN内的端口是不能访问了，而不同VLAN间的是可以访问的。

2、实现VLAN间的端口隔离port-isolate mode all ：说明，该命令在全局敲入QQ邮件订阅 /KUCqX2说明：并不是华为所有交换机都支持该特性，早期的交换机是不支持的，另外思科跟H3C也是只支持二层隔离，三层的话得依靠常用的ACL和其他技术。

display port-isolate group al：通过该命令可以查看所有的端口隔离组信息。

H3C端口隔离需要隔离的2个接口之间配置，需要隔离的接口之间配置该命令，那么2个接口之间就不能互通了，一般就是需要隔离的接口之间配置，然后上行接口不配置即可。

[]int e0/4/0技术博客 /1914756383/ [-Ethernet0/4/0]port-isolate enabledisplay port-isolate group：可以查看隔离信息Cisco 交换机(config)#int range f0/1 - 2(config-if-range)#switchport protected需要2个端口之间的流量隔离的，配置该命令即可，没有配置的不受影响。

交换机端口隔离实验名称：交换机端口隔离。

实验目的：理解Port Vlan的配置。

背景描述：假设此交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/5口；住户PC2连接在交换机的0/15口。

现要实现各家各户端口隔离。

技术原理：VLAN是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN具备了一个物理网段所具备的特性。

相同VLAN内的主机可以互相直接访问，不同VLAN间的主机之间互相访问必须经由路由设备进行转发。

广播数据包只可以在本VLAN内进行传播，不能传输到其它VLAN中。

Port Vlan是实现VLAN的方式之一，Port Vlan是利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN。

实现功能：通过划分Port Vlan实现本交换端口隔离。

实验设备：S2960(1台)、PC机（2台）、直连线（2条）实验拓扑：S2960F0/5 F0/15IP：192.168.10.1 IP：192.168.10.2PC1 VLAN10 PC2 VLAN20实验步骤：步骤1：测试在未划分VLAN前两台PC互相ping可以通。

步骤2：创建VLAN。

Switch>enable ！进入特权模式Switch#configure terminal ！进入全局配置模式Switch(config)#vlan 10 ！创建vlan 10Switch(config-vlan)#name test10 ！将vlan 10命名为test 10 Switch(config-vlan)#exitSwitch(config)#vlan 20 ！创建vlan 20Switch(config-vlan)#name test20 ！将vlan 10命名为test 20 验证测试：Switch#show vlan ！查看已配置的VLAN信息步骤3：将接口分配到VLANSwitch>enable ！将f0/5端口加入vlan 10中Switch#configure terminalSwitch(config)#interface fastethernet 0/5Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet 0/15Switch(config-if)#switchport access vlan 20步骤4：测试两台PC相互ping不通Switch#show vlan ！查看已配置的VLAN信息注意事项：1、交换机所有的端口在默认的情况下属于ACCESS端口，可直接加入某一VLAN，利用switchport modeaccess/trunk命令可以更改端口的VLAN模式。

交换机端⼝隔离port-isolate交换机端⼝隔离port-isolate⼀公司有三个部门，分别有三台PC。

根据要求实现，PC1与PC2禁⽌互相访问，PC1可以访问PC3，但PC3不能访问PC1，PC2与PC3之间可以互相访问。

根据需求分析，PC1与PC2之间端⼝隔离，PC1与PC3之间单向隔离（模拟器没有实现），PC2与PC3之间不隔离。

脚本：#VLAN 2#interface GigabitEthernet0/0/1port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/2port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/3port link-type accessport default vlan 2am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。

#在此情况下，PC1与PC2之间隔离了⼆层，但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时，在GI0/0/1抓包：从抓包信息可以看到，GI0/0/1有ARP报⽂，⽽GI0/0/2没有ARP 报⽂。

在SW上做VLAN2的⽹关，interface Vlanif2ip address 10.10.10.250 255.255.255.0arp-proxy inner-sub-vlan-proxy enablePC1 发送ARP请求PC2的MAC，VLANIF 2作为ARP Proxy代替PC2发送ARP应答报⽂。

PC1收到VLANIF2 的相应后，把APR表中PC2的MAC修改未VLANIF２的MAC。