文档介绍：1  简介本章介绍了采用端口隔离特性,实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。  适用产品和版本表1配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release1120系列,Release1130系列,Release1200系列S5800&S5820X系列以太网交换机Release1808S5830系列以太网交换机Release1115,Release1118S5500-EI&S5500-SI系列以太网交换机Release2220  组网需求如图1所示,HostA和HostB属同一VLAN,使用端口隔离功能实现HostA和HostB不能互访,但都可以与服务器Server及外部网络进行通信。图1端口隔离典型配置组网图  配置注意事项(1)     将端口加入隔离组前,请先确保端口的链路模式为bridge,即端口工作在二层模式下。(2)     同一端口不能同时配置为业务环回组成员端口和隔离组端口,即业务环回组成员端口不能加入隔离组。 配置步骤#创建VLAN100,1/0/1、1/0/2、1/0/3、1/0/4全部加入VLAN100。<SwitchA>system-view[SwitchA]vlan100[SwitchA-vlan100]1/0/1/0/4[SwitchA-vlan100]quit#1/0/1、1/0/2加入隔离组。[SwitchA]1/0/1[SwitchA-1/0/1]port-isolateenable[SwitchA-1/0/1]quit[SwitchA]1/0/2[SwitchA-1/0/2]port-isolateenable[SwitchA-1/0/2] 验证配置#使用displayport-isolategroup命令显示SwitchA上隔离组中的信息。显示信息的描述请参见表2。<SwitchA>displayport-isolategroup Port-isolategroupinformation: Uplinkportsupport:NO GroupID:1Groupmembers:1/0/1    1/0/2表2displayport-isolategroup命令显示信息描述表字段描述Port-isolategroupinformation显示端口隔离组的信息Uplinkportsupport是否支持配置上行端口字段描述GroupID隔离组编号Groupmembers隔离组中包含的普通端口(非上行端口)  配置文件S5500-SI系列交换机不支持portlink-modebridge命令。 #vlan100#1/0/1 portlink-modebridge essvlan100 port-isolateenable#1/0/2 portlink-modebridge essvlan100 port-isolateenable#1/0/3 portlink-modebridge essvlan100#1/0/4 portlink-modebridge essvlan100#  适用产品和版本表3配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release1120系列,Release1130系列,Release1200系列S5800&S5820X系列以太网交换机Release1808S5830系列以太网交换机Release1115,Release1118S5500-EI&S5500-SI系列以太网交换机Release2220  组网需求如图2所示,某公司内部的研发部门、市场部门和行政部门分别与SwitchB上的端口相连。要求在使用端口隔离功能的情况下同时实现以下需求:·     各部门与外界网络互访。·     在每天8:00~12:00的时间段内,允许HostA访问行政部门的服务器,拒绝其它的IP报文通过。·     在每天14:00~16:00的时间段内,允许HostB访问行政部门的服务器,拒绝其它的IP报文通过。·     在其他时间段,各部门之间不能互访。图2隔离端口间的定时互访组网图   配置思路要实现隔离端口间的互访,需要在网关设备上使用本地代理ARP功能。然而,启用本地代理ARP之后,接入层设备上的隔离端口都可互访或某一IP地址范围内的设备可互访。因此,还需要结合网关设备的报文过滤功能以实现隔离端口间的定时访问。 #1/0/1、1/0