交换机二层端口隔离配置详解

ps说明：以下命令均以华为交换机为例

一、基于组的隔离

特点：基于隔离组可以最大限度的保证vlan的使用（可以使用任意VLAN）
优点：配置方便，传输业务无限制。
缺点：同一交换机不同隔离组间会存在干扰。
场景：访问设备的同时向设备打流

测试场景举例：测试时需要访问设备反复在设备中修改配置，同时还要打各种流带VLAN、带DSCP等（主要用与被操作设备仅有一个LAN口需要走不同业务-vlan且业务间无然和干扰）

配置方法：

配置端口隔离模式为二层隔离三层互通。
<Quidway> system-view
[Quidway] port-isolate mode l2

将端口Ethernet0/0/1加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port-isolate enable group 1
[Quidway-Ethernet0/0/1] quit

#将端口Ethernet0/0/2加入隔离组group1。
<Quidway> system-view
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port-isolate enable group 1
[Quidway-Ethernet0/0/2] quit

ethernet 0/0/3 不加入隔离组

使用：将管理PC接入交换机端口1，仪表接入交换机端口2，待测设备接入交换机端口3。

验证：
管理PC ping设备，可以ping通。
仪表ping设备，可以ping通。
管理PC ping仪表，不通。

---

二、基于VLAN的隔离

特点：基于VLAN的隔离可以使用不同端口模式充分利用交换机端口
缺点：对带vlan的业务敏感，需要配置不同模式处理VLAN
场景：访问同vlan的所有设备，不会收到广播域干扰

测试场景举例：使用vlan划分可以更好的利用交换机资源
配置方法：

#进入虚拟VLAN接口
interface vlanif10
#设置IP地址和掩码
ip address 197.6.1.1 255.255.255.0
#进入端口，设置access模式并将pvid设置为10
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20

使用说明：
vlan 10的端口可互通，与vlan20无法通信。
vlanif就是创建三层接口，可以在上面配置IP的，通过IP访问设备

---

三、基于QinQ的隔离

特点：灵活QinQ，可以解决(一)中端口浪费的情况，可以用Qinq将交换机先划为几块，然后再内部做隔离组
优点：灵活度高，隔离方便，端口利用率高，业务无限制。
缺点：版本较低的交换机不支持该功能。
场景：发夹模式

测试场景举例：一组设备为6台，交换机有48个口，这样就可以用外层vlan将交换机分为8个vlan域。8个域中间业务隔离。然后再在每个域中组隔离组完成发夹。

配置方法：

interface Ethernet0/0/3
mac-address learning disable   （关闭mac地址学习）
port link-type dot1q-tunnel    （外层标签在dot1q隧道传输）
port default vlan 102          （配置外层vlan）
#
interface Ethernet0/0/4
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/5
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/6
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 102
port-isolate enable group 2
#
interface Ethernet0/0/7
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
#
interface Ethernet0/0/8
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103
port-isolate enable group 3
#
interface Ethernet0/0/9
mac-address learning disable
port link-type dot1q-tunnel
port default vlan 103

通过外层VLAN将交换机端口分为不同区域，内部可以使用隔离组做发夹模式。

验证：验证发夹隔离组即可，所有设备必须通过发夹反弹才能通信。

附：发夹模式的原理 https://www.cnblogs.com/xuanxuanBOSS/p/10753491.html

原文地址：https://www.cnblogs.com/xuanxuanBOSS/p/11428527.html