cisco交换机端口隔离的实现方法

cisco交换机端口隔离的设置教程推荐文章Netapp网卡与外联交换机的接法与配置教程热度：中兴，华为，烽火交换机常用配置命令教程热度：交换机堆叠技术原理步骤教程热度：S3600系列交换机DHCP Relay的配置教程热度：思科三层交换机路由功能配置教程热度：交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

H3C 交换机可以用端口隔离来实现，下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求在cisco 低端交换机中的实现方法:1.通过端口保护(Switchitchport protected)来实现的。

2.通过PVLAN(private vlan 私有vlan)来实现.主要操作如下:相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口Switch(config-if-range)#Switchitchport protected #开启端口保护ok...到此为止,在交换机的每个接口启用端口保护,目的达到.由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。

主要操作如下:交换机首先得设置成transparents模式，才能完成pvlan的设置。

首先建立second Vlan 2个Switch(config)#vlan 101Switch(config-vlan)#private-vlan community###建立vlan101 并指定此vlan为公共vlanSwitch(config)vlan 102Switch(config-vlan)private-vlan isolated###建立vlan102 并指定此vlan为隔离vlanSwitch(config)vlan 200Switch(config-vlan)private-vlan primarySwitch(config-vlan)private-vlan association 101Switch(config-vlan)private-vlan association add 102###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlanSwitch(config)#int vlan 200Switch(config-if)#private-vlan mapping 101,102###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信Switch(config)#int f3/1Switch(config-if)#Switchitchport private-vlan host-association 200 102Switch(config-if)#Switchitchport private-vlan mapping 200 102Switch(config-if)#Switchitchport mode private-vlan host###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan 的主vlan以及second vlan，一定用102，102是隔离vlan 至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信。

实验二、交换机端口隔离一、实验目的：理解Port Vlan的原理以及配置，掌握交换机端口隔离划分虚拟局域网。

二、实验拓扑图：交换机端口隔离实验1、实验拓扑及说明2、实验步骤：（1）按照实验拓扑图完成各设备的互联，进行各PC机及服务器的IP设置，确保各主机可以通讯。

（2）创建Vlan，隔离端口，实现分属不同VLAN内的同网段PC机的访问需求。

其相关配置如下：创建VLAN：sysname Huaweiundo info-center enablevlan batch 10 20 30 100cluster enablentdp enablendp enabledrop illegal-mac alarmdiffserv domain defaultdrop-profile defaultaaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http交换机Hybird端口配置：interface Vlanif1interface MEth0/0/1interface Ethernet0/0/1port hybrid pvid vlan 10port hybrid untagged vlan 10 20 30 100interface Ethernet0/0/2port hybrid pvid vlan 20port hybrid untagged vlan 10 20 100interface Ethernet0/0/3port hybrid pvid vlan 30port hybrid untagged vlan 10 30 100interface GigabitEthernet0/0/1port hybrid pvid vlan 100port hybrid untagged vlan 10 20 30 100interface GigabitEthernet0/0/2interface NULL0user-interface con 0user-interface vty 0 4return（3）查看已配置的VLAN信息：display Port Vlandisplay Port Vlan （4）通过Ping命令验证测试各主机是否按要求访问，并记录结果实验测试及结果：（1）实验数据：PC1、PC2、PC3、Server分属于Vlan10、20、30、100；IP地址：PC1:10.1.1.1 PC2:10.1.1.2PC3:10.1.1.3 Server:10.1.1.254（2）划分VLAN前各主机都是可以Ping通的（3）查看VLAN信息结果：（4）连通性测试：PC1 Ping PC2、PC3、Server可以通，如下图：同样，PC2、PC3与Server可以互相通信。

交换机端口隔离【实验名称】单个交换机端口的隔离【实验目的】掌握单个交换机端口的隔离配置【背景描述】某个小型企业公司只有两个部门，分别是财务部和技术部。

两个部门各有一台pc机，财务部的pc机连接到交换机的0/1端口上，技术部的pc机连接到交换机的0/2端口上，现要实现两个部门的端口进行隔离。

【技术原理】虚拟局域网 VLAN （Virtual Local Network）是由一些局域网网段构成的与物理位置无关的逻辑组，这些网段具有某些共同的需求。

在物理网段内进行逻辑的虚拟划分，划分成多个虚拟局域网。

每一个 VLAN 的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个 VLAN。

所以VLAN与物理位置，地理位置无关。

相同的vlan内的主机可以相互直接访问，不同的vlan主机之间必须通过路由设备进行转发才能够通信，所以广播数据包也只能在vlan内进行传播，不能传播到其他的vlan。

【实现功能】通过vlan的划分，可以实现交换机端口之间的隔离。

【实验设备】Cisco2960交换机一台、pc机两台、直通线两根、console控制线一根【实验拓扑】注:在连接设备时，pc机连接到交换机用直通线进行连接。

连接时注意看清交换机对应端口号。

【实验步骤】步骤一在没有进行vlan划分的两台pc机进行配置并且能够相互ping可以通。

以下是交换机SW1 vlan的创建。

Switch>enable //进入特权模式Switch#configure terminal //进入全局配置模式Switch(config)#vlan 10 //创建vlan 10Switch(config-vlan)#name jishubu //将vlan 10 命名为“jishubu”Switch(config-vlan)#exit //返回上一级模式Switch(config)#vlan 20 //创建vlan 20Switch(config-vlan)#name caiwubu //将vlan 20 命名为“caiwubu”Switch(config-vlan)#exit //返回上一级模式验证测试：Switch#show vlan //查看已配置的vlan信息VLAN Name Status Ports----------------------------------------------------------------1 default activeFa0/1, Fa0/2,Fa0/3,Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16 Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22, Fa0/23, Fa0/24Gig1/1, Gig1/210 jishubu active //新创建的vlan10，没有端口属于vlan1020 caiwubu active //新创建的vlan20，没有端口属于vlan20步骤二将端口分配到vlan内//将fa0/1端口加入到vlan10中Switch(config)#interface fastEthernet 0/1 //进入fa0/1端口配置模式Switch(config-if)#switchport access vlan 10 //把端口加入到vlan10Switch(config-if)#exitSwitch(config)#interface fastEthernet 0/2 //进入fa0/2端口配置模式Switch(config-if)#switchport access vlan 20 //把端口加入到vlan20Switch(config-if)#exit验证测试Switch#show vlanVLAN Name Status Ports-----------------------------------------------------------------1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21,Fa0/22 Fa0/23,Fa0/24,Gig1/1,Gig1/210 jishubu active Fa0/1 //fa0/1端口已加入vlan1020 caiwubu active Fa0/2 //fa0/2端口已加入vlan20步骤三两台pc不能相互ping通。

交换机中端口隔离原理嘿，小伙伴们！今天咱们来聊一聊交换机中的端口隔离原理，这可有点像住在公寓里，每个房间都有自己的小世界一样呢。

首先呢，咱们得知道交换机是啥。

简单来说，交换机就像是一个超级管理员，它负责把网络信号准确地送到各个设备那里。

那端口呢，就是设备连接到这个超级管理员的小通道。

端口隔离原理啊，就像是在这个交换机里建了一道道看不见的小墙。

比如说，有一堆设备都连着交换机，端口隔离就是让某些端口之间不能直接通信，就像住在公寓里，虽然大家都在同一栋楼，但是有些房间之间被设置了特殊的权限，不能随便串门。

从技术上讲呢，交换机实现端口隔离主要是通过软件配置的方式。

就好像在管理员的小本本上写着：“这个端口和那个端口，你们不能互相聊天哦。

”交换机内部有一个小小的规则表，当一个端口想要给另一个端口发送信息的时候，这个规则表就会跳出来检查，看看这两个端口之间有没有被设置隔离。

如果被隔离了，那就像快递员被拦在门口一样，信息就送不过去啦。

打个比方吧，假如你有好多玩具，每个玩具都有一个对应的小盒子（端口）放在一个大柜子（交换机）里。

端口隔离就像是给某些小盒子加上了锁，只有特定的钥匙（符合规则的通信）才能打开。

比如说，红色的玩具盒子和蓝色的玩具盒子被设置了隔离，那红色盒子里的小机器人就不能直接跑到蓝色盒子里去玩啦。

那为啥要有端口隔离呢？这就和我们生活中的隐私和安全有关啦。

在一个大的网络环境里，就像在一个小区里，有些设备的信息是比较私密的，不想被其他设备随便访问。

比如说公司里的财务部门电脑，它的信息很重要，就可以通过端口隔离把它和其他普通部门的电脑隔离开，这样就更安全啦。

再比如说，在学校的机房里，老师的电脑可能存储着考试题目之类的重要资料，通过端口隔离，就可以避免学生的电脑不小心访问到这些资料，就像在教室里划分出了不同的小区域一样。

交换机的端口隔离原理其实并不复杂，它就是通过设置规则，在端口之间建立起一种特殊的关系，让一些端口之间不能自由通信，从而达到保护隐私、保障安全等目的。

计算机网络实验报告2012013324 软件工程121班张桐第一部分：实验六、交换机端口隔离【实验名称】交换机端口隔离.【实验目的】理解Port Vlan的配置，了解VLAN的原理，熟练掌握交换机端口隔离划分虚拟局【背景描述】假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机的fa0/5口;住户PC2连接在交换机的fa0/15口，住户pc3连接在fa0/1口.现要实现各家各户的端口隔离.【实现功能】通过PORT VLAN实现本交换机端口隔离. （通过虚拟局域网技术可以隔离网络风暴，提高网络的性能，降低无用的网络开销。

并能提高网络的安全性,保密性。

）【实验步骤】（1）互ping：Pc1:Pc2:（2）末划VLAN前两台PC互相PING通：（3）将接口分配到VLAN；台互相ping不同通第二部分：实验七、跨交换机实现VLAN【实验名称】跨交换机实现VLAN.【实验目的】理解VLAN如何跨交换机实现.【背景描述】假设某企业有2个主要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接在2台交换机上,他们之间需要相互连接通信,但为了数据安全起见,销售部和技术部须要进行相互隔离,现要在交换机上做适当配置来事项这一目标.【实现功能】Port VLAN 来实现交换机的端口隔离，然后使在同一个VLAN里的计算机系统能跨交换机进行相互通信，而在不同VLAN里的计算机不能进行相互通信。

【实验步骤】（1）在交换机上创建VLAN10并将0/10端口划分给它（2）在交换机上创建VLAN20并将0/15端口划分给它（3）在交换机yxc上将与B交换机相连端口：（7）设置三层交换机VLAN互通讯：【实验总结】通过本次实习，我对虚拟局域网有了一定的了解。

学会了Port Vlan 的相关配置以及跨交换机实现Vlan，了解到使在同一Vlan里的计算机系统能跨交换机进行互相通信，而在不同Vlan里的计算机系统不能进行相互通信。

H3C交换机端口隔离配置案例
端口隔离, H3C
一组网需求：
1．将PC1与PC2进行隔离，PC1与PC2不能进行二层及三层访问；2．PC1与PC3，PC2与PC3能互相访问。

二组网图：
下载(40.93 KB)
2010-9-25 18:34
三配置步骤：
1．进入系统模式
<H3C>system-view
2．进入E1/0/1端口视图
[H3C] interface ethernet1/01
3．将端口E1/0/1加入隔离组
[H3C-Ethernet1/0/1] port isolate
4．进入E1/0/2端口视图
[H3C] interface ethernet1/0/2
5．将端口E1/0/2加入隔离组
[H3C-Ethernet1/0/2] port isolate
四配置关键点：
1．同一交换机中只支持一个隔离组，组内端口数不限；
2．端口隔离特性与以太网端口所属的VLAN无关；
3．经过以上配置后，可以完成隔离组内PC间二层及三层的隔离，而隔离组与隔离组外的PC不隔离，即PC1与PC2相互隔离，而PC1与PC3不隔离，PC2与PC3不隔离；
4．执行port isolate或undo port isolate命令后，在本地设备中，与当前端口位于同一汇聚组中的其他端口，会同时加入或离开隔离组；
5．此案例适用于H3C S3600、S5600、S3100、S5100、S5500、S3610，以及Quidway S3900、S5600、S2000、S3100、S5000、S5100系列交换机。

来源: 中国系统集成论坛原文链接：/thread-162445-1-8.html。

交换机端⼝隔离port-isolate交换机端⼝隔离port-isolate⼀公司有三个部门，分别有三台PC。

根据要求实现，PC1与PC2禁⽌互相访问，PC1可以访问PC3，但PC3不能访问PC1，PC2与PC3之间可以互相访问。

根据需求分析，PC1与PC2之间端⼝隔离，PC1与PC3之间单向隔离（模拟器没有实现），PC2与PC3之间不隔离。

脚本：#VLAN 2#interface GigabitEthernet0/0/1port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/2port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/3port link-type accessport default vlan 2am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。

#在此情况下，PC1与PC2之间隔离了⼆层，但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时，在GI0/0/1抓包：从抓包信息可以看到，GI0/0/1有ARP报⽂，⽽GI0/0/2没有ARP 报⽂。

在SW上做VLAN2的⽹关，interface Vlanif2ip address 10.10.10.250 255.255.255.0arp-proxy inner-sub-vlan-proxy enablePC1 发送ARP请求PC2的MAC，VLANIF 2作为ARP Proxy代替PC2发送ARP应答报⽂。

PC1收到VLANIF2 的相应后，把APR表中PC2的MAC修改未VLANIF２的MAC。

交换机：探索端口隔离、流控关闭及标准模式作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。

它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。

其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。

在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离1. 为什么需要端口隔离？当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。

通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。

通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭1. 流控的作用和原理流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。

而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。

而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

3. 流控关闭的应用场景流控关闭一般适用于一些对数据传输速率要求较高的场景，如视频直播、大文件传输等，可以通过关闭流控来提高数据传输速率。

三、标准模式1. 标准模式的定义和特点标准模式是交换机中的一个工作模式，它通常是指交换机按照IEEE标准进行配置和工作的模式。

在这种模式下，交换机会按照一定的规范来进行数据交换和转发，从而确保网络的稳定和数据的可靠传输。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。