端口隔离

何友军

    在工作中，是否会遇到两台设备之间明明在相同网段，确不能够相互通信?怎么排错？
      1.检查两台设备的IP地址，子网掩码
      2.检查两台设备的防火墙是否开启，如果开启是否放行icmp报文。
    综上所述，如果都没有问题，依然不能通信?作为网工，如何排查呢?，下面科普一下端口隔离知识哟。


端口隔离
     为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLNA资源，采用端口隔离功能，可以实现同一个VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全，更灵活的组网方案。
MUX VLNA
     multiplex vlan提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。
在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络，当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只允许学习到MAC地址的设备通信 。
端口隔离
实现同一VLAN内端口之间的隔离,位于相同端口隔离组内的端口之间无法互相访问。端口隔离不影响QQ和微信聊天，因为服务器在公网。没有放在隔离组里面的端口不受限制。

二层隔离三层互通 ----默认模式
如果希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以配置该模式。
即：如果同一个组内都配置了网关，则是可以通信的。

双向隔离
int g 0/0/1
port-isolate enable
默认情况都为组1
即disp port-isolate group all 0

单向隔离
interface GigabitEthernet0/0/3   即3口不能访问1口
port link-type access
am isolate GigabitEthernet0/0/1

二层三层均隔离
如果希望同一VLAN不同端口下用户彻底无法通信，则可以配置该模式。即：如果同一个组内都配置了网关，则不可以通信的。
[Huawei-Vlanif1]arp-proxy ?
  enable                Enable proxy ARP(Address Resolve Protocol)
  inner-sub-vlan-proxy  Proxy ARP within a VLAN  内
  inter-sub-vlan-proxy  Proxy ARP between VLANs  间

隔离模式   在全局模式使用
[Huawei]port-isolate  mode ?
  all  All                二层三层隔离
  l2   L2 only         二层隔离三层互通，默认模式