一、技術概述

1. 核心定義

端口隔離（Port Isolation）是二層交換機上的網絡隔離技術，核心目標是阻止同一VLAN內指定端口間直接通信，同時允許這些端口與上行端口（網關、服務器）正常通信。

2. 應用背景

傳統以太網中，所有設備處于同一廣播域，廣播幀泛洪易引發廣播風暴，導致網絡擁塞（如校園網、數據中心場景）。VLAN可解決廣播域問題，但無法滿足“同一VLAN內部分用戶不可互訪”的安全需求，需端口隔離配合實現。

3. 主要應用

在實際應用中，端口隔離常用于工業自動化、智能工廠、交通控制等場景。例如，在工業生產線中，不同設備或系統之間通過端口隔離，可以有效避免因設備故障或網絡攻擊導致的全網癱瘓，確保關鍵設備的數據獨立傳輸，減少相互干擾。此外，端口隔離還能幫助運維人員簡化網絡管理，實現分區控制和故障定位，提高整個工業網絡的可靠性和安全防護能力。因此，端口隔離是工業交換機中提升網絡安全和管理效率的重要功能。

二、測試拓撲（ensp模擬）

VLAN 10：關聯端口GigabitEthernet 0/0/1~3，連接PC1（192.168.1.2）、PC2（192.168.1.3）、PC3（192.168.1.4）

VLAN 20：關聯端口GigabitEthernet 0/0/5，連接PC4（192.168.2.2）

交換機SW1：Vlanif10地址192.168.1.1，Vlanif20地址192.168.2.1，子網掩碼均為255.255.255.0

三、配置與測試案例

案例1：二層端口隔離（同一VLAN內隔離，跨VLAN可通）

1. 配置需求

VLAN 10內的PC1、PC2、PC3不可互訪。

VLAN 10與VLAN 20（PC4）可正常通信。

2. 交換機SW1配置命令

vlan batch 10 20

interface Vlanif10

ip address 192.168.1.1 255.255.255.0

interface Vlanif20

ip address 192.168.2.1 255.255.255.0

VLAN 10端口配置隔離（加入隔離組1）

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

port-isolate enable group 1

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

port-isolate enable group 1

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

port-isolate enable group 1

VLAN 20端口配置（不加入隔離組）

interface GigabitEthernet0/0/5

port link-type access

port default vlan 20

3.測試結果

同一VLAN隔離：PC1 ping PC2（192.168.1.3）、PC3（192.168.1.4），均為100%丟包，目標不可達。

跨VLAN互通：PC1 ping PC4（192.168.2.2），5包全收，無丟包（時延32~78ms）。

案例2：三層端口隔離（跨網段也禁止互訪）

1. 配置需求

在案例1基礎上，禁止VLAN 10與VLAN 20跨網段通信。

2. 交換機SW1配置命令（新增/修改）

開啟三層隔離模式

port-isolate mode all

將VLAN 20端口加入隔離組1

interface GigabitEthernet0/0/5

port-isolate enable group 1

3.測試結果

PC1、PC2 ping PC4（192.168.2.2），均為100%丟包，跨網段通信被阻斷。

案例3：指定端口隔離（部分設備禁止跨VLAN訪問）

1. 配置需求

禁止PC1與PC4互訪。

允許PC2、PC3與PC4通信。

2. 交換機SW1配置命令（調整隔離組）

調整PC1端口至隔離組2

interface GigabitEthernet0/0/1

port-isolate enable group 2

3. 調整PC4端口至隔離組2，取消隔離組1

interface GigabitEthernet0/0/5

port-isolate enable group 2

undo port-isolate enable group 1

4.驗證與測試

查看隔離組信息：執行display port-isolate group all，確認PC1（0/0/1）、PC4（0/0/5）在隔離組2，PC2（0/0/2）、PC3（0/0/3）在隔離組1。

測試結果：PC1 ping PC4 100%丟包；PC2 ping PC4 僅20%丟包（可正常通信）。

四、典型應用場景

1. 酒店客房網絡：客房間設備禁止互訪，保障隱私安全。

2. 企業會議室：僅允許主講人PC訪問投影儀，避免其他終端干擾。

3. 小型辦公網絡：同一部門內部分終端隔離，限制數據交互范圍。

五、技術小結

1. 端口隔離僅需通過“隔離組+模式配置”實現，邏輯簡單，適合小網絡場景。

2. 二層隔離默認阻斷同一VLAN內指定端口通信，三層隔離需開啟port-isolate mode all。

3. 可通過調整端口所屬隔離組，靈活實現“部分隔離、部分互通”的定制化需求。