端口隔离

有些设备只支持一个隔离组（以下简称单隔离组），由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。有些设备支持多个隔离组（以下简称多隔离组），用户可以手工配置。不同设备支持的隔离组数不同，请以设备实际情况为准。

隔离组内可以加入的端口数量没有限制。

端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口，只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过，其它情况的端口二层数据是相互隔离的。对于属于同一VLAN的端口，隔离组内、外端口的二层数据互通的情况，又可以分为以下两种：

1.支持上行端口的设备。

2.不支持上行端口的设备，隔离组内的端口和隔离组外端口二层流量双向互通。

端口隔离技术在H3C交换机上的实现

system-view 进入系统视图

interface interface-type interface-number 进入以太网端口视图

port isolate 将以太网端口加入到隔离组中

端口隔离技术在H3C交换机上实现很强，使用也方便，上述的三条命令就可以实现相应端口之间隔离。

端口隔离技术在D-LINK交换机上的实现

config traffic_segmentation [] forward_list [null |]

其中表示指定哪个端口作为隔离端口，参数null表示没有上连端口，参数表示上连端口。

端口隔离技术在港湾交换机上的实现

config vcn up [notagout|tagout] baseVID <1-4069>

其中表示指定哪个端口作为上行通信端口，可以指定一个或两个上行端口；参数notagout 表示上连端口以untag方式属于vcn所创建的所有vlan，参数tagout表示上连端口以tag方式属于baseVID后面所跟的vlanID。

端口隔离技术在CISCO交换机上的实现

config terminal 进入系统视图

interface interface-type interface-number 进入以太网端口视图

switchport protected 将以太网端口加入到隔离组中

CISCO的端口隔离技术实际是端口保护，起了switchport protected的端口将不会受单播、广播和组播的影响。

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。