华为端口隔离原理和实验

模拟器：eNSP

端口隔离的概念：

是交换机端口之间的一种访问控制安全控制机制，主要是为了进行二层隔离，也可以实现二，三层隔离，在没有这个技术之前，需要将二，三层隔离都是划分入不同的VLAN，这样浪费了很多vlan的资源，端口隔离是在接口上配置，配置了隔离的端口，每个接口可以配置多个安全隔离组，每一组不能进行二层，或二，三层通信，不同组之间可以进行正常的通信，比较方便，当然也可以进行单向隔离，对方可以发送信息给你，但是你可以发送信息给其他设备。

运用场景：

可以在一些小区里边的，一般同一个vlan的用户都是同一网段的，所以是可以ping通访问的，可以共享资料啊什么的，但是做了端口隔离后，即使在同一网段，也禁止互相访问，这样就安全了。因为小区用户都是去申请电信，联通宽带了，只需要去上网，不需要去访问小区其它用户的，即使你要访问你同一个小区的某一个亲戚，也要通过上网后，通过QQ之类的传文件给他。端口隔离对广播域范围减少帮助不大，因为都是对单独的端口进行的隔离。

实验：

实验背景与需求：
PC1，PC2，PC3，PC4都在vlan 1时里面，PC1的ip地址为10.1.1.1/24，PC2的ip地址为10.1.1.2/24，PC3的ip地址为10.1.1.3/24，PC4的ip地址为10.1.1.4/24，现在需要保证的额是PC1，PC2，PC3能访问PC4，而PC4不能访问其余PC。PC1、PC2之间不能互访，PC2、PC3之间不能互访，PC1、PC3之间可以互访。

实验配置：
可选设置：在全局模式下配置隔离的方式：进行二层、三层都隔离，还是只进行二层隔离（默认），本实验只要求二层，所以不用进行修改

根据分析，将与PC4相连的接口设置为单向隔离的接口，只允许PC4被访问，PC4不能主动访问：
首先测试PC4能否访问PC1：正常

在sw上：
interface Ethernet0/0/4 //进入与PC4相连的接口
am isolate Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 //与e0/0/1，e0/0/2，e0/0/3接口进行单向隔离
再进行测试PC4pingPC1：无法ping通

PC1pingPC4：这里需要主要的是，PC1也无法ping通PC4，因为回复报文无法从PC4发送出来

然后根据要求实现PC1与PC2之间的二层隔离（双向隔离）：
interface Ethernet0/0/1 //进入相应的接口
port-isolate enable group 1 //将接口加入其中一个组中
interface Ethernet0/0/2
port-isolate enable group 1
配置完成后进行检查是否能够互相通信：失败，隔离成功

同理实现PC2和PC3之间的二层隔离（双向隔离）：
interface Ethernet0/0/2 //进入接口
port-isolate enable group 2 //将接口划分为另一个组中，不能与之前的组重合，且同一个接口可以加入多个组
interface Ethernet0/0/3
port-isolate enable group 2 //加入相同的组
配置完成后进行检查是否能够互相通信：失败，隔离成功

最后，因为PC1和PC3不在同一个隔离组中，可以互相进行通信：PC1pingPC3进行测试