話說張飛接到諸葛神人下達的保障中軍大營資訊保安的軍令後，不禁大為撓頭。幸得姜維提醒，才想起諸葛神人留的第二個錦囊。兩人開啟錦囊，定睛觀看，只見錦帛上書：兩軍對壘，資訊至上，保障安全，唯有隔離。

張飛瞪著虎目環眼，一臉茫然：“維維老弟，丞相的錦囊暗藏什麼玄機，你造不？”

姜維呵呵一笑：“飛飛不要捉急，且聽我慢慢道來。下圖是我軍的大營分佈圖。

飛飛你看，我軍的中軍大營、士兵大營和輜重大營同屬於一個VLAN且位於相同網段。預設情況下，三個大營可以互相訪問。現在，丞相要求咱們在不改變我軍網段規劃和VLAN規劃的情況下，實現：1)中軍大營和士兵大營不能互相訪問；2）中軍大營可以訪問輜重大營，但輜重大營不能訪問中軍大營，且輜重大營和士兵大營始終可以互相訪問。

那麼，該如何實現呢？

這就需要咱們祭出埠隔離這個大招啦。此招一出，威力無窮，必然能夠完成丞相軍令，到時候丞相肯定誇你是個愛學習、肯動腦的好孩子，哈哈哈哈！”

姜維調侃完張飛後，開心得哈哈大笑。

張飛假裝慍怒：“維維老弟，別臭美了，你快告訴我怎麼配置埠隔離吧！”

“好，長話短說。說到埠隔離，就要引入埠隔離組的概念，交換機的埠可以加入到特定的埠隔離組中，同一埠隔離組的埠之間互相隔離，不同埠隔離組的埠之間不隔離。因此，要完成丞相的軍令，配置思路其實非常簡單。如下圖所示，在交換機上將埠GE0/0/1和GE0/0/2加入同一個埠隔離組，GE0/0/3不加入埠隔離組或者加入另一個埠隔離組就OK了。

配置步驟如下：

<Huawei> system-view

[Huawei] sysname Switch

[Switch] interface gigabitEthernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 10

[Switch-GigabitEthernet0/0/1]port-isolate enable group 5//埠GE0/0/1加入到埠隔離組5

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitEthernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 10

[Switch-GigabitEthernet0/0/2]port-isolate enable group 5//埠GE0/0/2加入到埠隔離組5

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 10//埠GE0/0/3不加入埠隔離組

[Switch-GigabitEthernet0/0/3]quit

完成配置後，埠GE0/0/1和GE0/0/2就加入同一個埠隔離組，埠GE0/0/3不加入任何埠隔離組。這樣，中軍大營和士兵大營就不能互相訪問了，但中軍大營和輜重大營、士兵大營和輜重大營仍然可以互相訪問。”

江湖小貼士：如何檢視埠隔離組的配置資訊呢？

執行命令display port-isolate group{group-id|all}命令就可以檢視埠隔離組的配置資訊啦。

張飛聞言大喜，不過他心中還壓著一個小包袱：“維維老弟，丞相還要咱們實現中軍大營可以訪問輜重大營，但輜重大營不能訪問中軍大營。這個問題也能用埠隔離解決嗎？”

姜維微微一笑，淡定地說：“埠隔離既然是大招，當然不僅僅只有埠隔離組這件殺器嘍，它的武器庫裡還要另外一件殺器――單向隔離，正好解決你提的這個問題。”

張飛有點不相信，懷疑地說：“神馬是單向隔離？有這麼神奇嗎？”

姜維笑著說：“單向隔離，顧名思義，只在單個方向上進行資訊隔離。舉個栗子，在介面A上配置它與介面B之間單向隔離，則從介面A傳送的報文不能到達介面B，但從介面B傳送的報文可以到達介面A。就拿你提的這個問題來說吧，要實現中軍大營可以訪問輜重大營，但輜重大營不能訪問中軍大營，就可以使用單向隔離功能。如下圖所示，在埠GE0/0/3上配置單向隔離功能，並指定隔離的埠是GE0/0/1，這樣，GE0/0/3上發出的報文不能到達GE0/0/1，而GE0/0/1發出的報文可以到達GE0/0/3，從而實現中軍大營可以訪問輜重大營，但輜重大營不能訪問中軍大營。

配置步驟如下：

[Switch] interface GigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3]am isolategigabitethernet0/0/1//在GE0/0/3上配置埠隔離功能，並指定隔離的埠是GE0/0/1

[Switch-GigabitEthernet0/0/3]quit

配置單向隔離大功告成，看，就是這麼簡單！”

張飛按照諸葛神人的錦囊，輕輕鬆鬆地在交換機上配置了埠隔離功能，經過驗證，中軍大營果然不能與士兵大營互相訪問，且輜重大營不能訪問中軍大營。

第二天，張飛美滋滋地等著諸葛神人的表揚，不料，諸葛神人卻告訴張飛：“飛飛，埠GE0/0/1與埠GE0/0/2現在是二層隔離，雖然ARP啥的無法透傳過來，但是通過VLAN內Proxy ARP功能，中軍大營與士兵大營仍然能夠藉助自己的閘道器實現三層互訪，這就是所謂的二層隔離但是三層不隔離。”

張飛有點小鬱悶：“丞相，管它二層隔離三層隔離，只要能實現資訊隔離不就行了？反正我現在看不出來二層隔離和三層隔離有啥區別。”

諸葛神人不慌不忙地搖著鵝毛扇：“事實勝於雄辯。我們做個小實驗，你就完全明白了。

實驗過程如下：

步驟1如下圖所示，取中軍大營的主機PC1和士兵大營中的主機PC2，在PC1和PC2加入同一個埠隔離組條件下，用PC1和PC2互相Ping對方，結果兩者無法互相Ping通，說明埠隔離功能起了作用。

在PC1 Ping PC2的過程中，在交換機上抓取經過GE0/0/1和GE0/0/2的報文。

lGE0/0/1的抓包資訊如圖所示：

抓包資訊顯示，PC1傳送了ARP請求報文（綠線框圍住的Protocol為ARP的報文）後，並沒有收到來自PC2的ARP應答報文。
lGE0/0/2的抓包資訊如圖所示：

抓包資訊顯示，PC2並沒有收到來自PC1的ARP請求報文。

結論綜合GE0/0/1和GE0/0/2的抓包資訊，說明了PC1傳送的ARP請求報文無法通過交換機透傳到PC2上，這樣，PC1和PC2之間就無法完成ARP學習過程，兩者之間也就無法實現相互訪問。

步驟2PC1和PC2上配置的閘道器是VLANIF10的IP地址：10.10.10.250/24，我們在VLANIF10上使能VLAN內Proxy ARP功能。步驟如下：

[Switch] interface vlanif 10

[Switch-Vlanif10]ip address10.10.10.25024

[Switch-Vlanif10]arp-proxy inner-sub-vlan-proxy enable//在VLANIF10上使能VLAN內Proxy ARP功能

[Switch-Vlanif10] quit

然後用PC1和PC2互相Ping對方，結果兩者可以互相Ping通，這說明埠隔離功能失效了。這是怎麼回事呢？讓我們來抓包分析一下。

lGE0/0/1的抓包資訊如圖所示：

首先，PC1傳送ARP請求報文，尋找PC2的MAC地址（如黃線標註）。

其次，VLANIF10作為ARP代理，代替PC2傳送ARP應答報文（如藍線標註。注意：4c1f-cc6b-263c是VLANIF10的MAC地址）。

然後，PC1收到來自VLANIF10的ARP應答報文後，把ARP表項中PC2的MAC地址修改為VLANIF10的MAC地址，如下圖所示。

最 最後，PC1傳送到PC2的Ping Request報文（如綠線標註）。下圖是Ping Request報文資訊，Ping Request報文的目的MAC地址是VLANIF10的MAC地址（如黃線標註），可見，Ping Request報文會首先發送到VLANIF10上。

l江江湖小貼士：如何檢視VLANIF10的MAC地址呢？

在交換機上執行display arp all命令就可以檢視VLANIF10的ARP表項，ARP表項中包含VLANIF10的MAC地址。如下圖所示。

lGE0/0/2的抓包資訊如圖所示：

首先，VLANIF10傳送ARP請求報文，尋找PC2的MAC地址（如黃線標註）。

其次，VLANIF10收到來自PC2的ARP應答報文，獲取了PC2的MAC地址（如藍線標註）。

最後，VLANIF10將收到的來自PC1的ARP Request報文轉發到PC2（如綠線所示）。

結論綜合GE0/0/1和GE0/0/2的抓包資訊可以看出，PC1傳送的Ping Request報文會發送到VLANIF10進行三層轉發，而不是進行二層轉發。PC2迴應PC1的Ping Reply報文也同樣進行三層轉發，本帖不再贅述。

張飛嚷道：“哇，PC1和PC2之間果然能夠通過三層進行通訊。那麼，丞相，如何實現PC1和PC2二三層都隔離呢？”

諸葛神人微微一笑：“很簡單，只需要在系統檢視下執行port-isolate mode all命令即可實現二三層都隔離。讓我們再次實驗一下。

實驗步驟如下：

步驟1在介面VLANIF10下保留VLAN內Proxy ARP功能的配置的同時，在系統檢視下執行port-isolate mode all命令。

[Switch]port-isolate mode all//指定埠隔離模式為二層三層都隔離

步驟2用PC1和PC2互相Ping對方，結果兩者不能互相Ping通。

抓包分析一下PC1和PC2無法互相Ping通的原因。

lGE0/0/1的抓包資訊如圖所示：

抓包資訊顯示，PC1傳送ARP請求報文，收到來自介面VLANIF10的ARP應答報文。PC1傳送Ping Request報文到VLANIF10進行三層轉發。

lGE0/0/2的抓包資訊如圖所示：

抓包資訊顯示，VLANIF10沒有傳送ARP請求報文尋找PC2的MAC地址，也沒有把PC1傳送的ARP Request報文轉發到PC2。

結論VLANIF10並沒有轉發來自PC1的ARP Request報文，這樣，PC1和PC2之間也就無法實現三層互訪了。

飛飛你看，只是增加了一個小小的配置，埠隔離功能就又王者歸來了！”

張飛信服地點了點頭，讚歎道：“不愧是丞相呀，果然神機妙算！不過丞相，你看現在我們在交換機上配置了這麼多埠隔離的命令，萬一日後我們不需要埠隔離功能了，一條一條刪除這些命令多麻煩呀！”

諸葛神人誇獎張飛：“誰說飛飛有勇無謀？這個想法就很動腦子。其實，在系統檢視下執行clear configuration port-isolate命令就可以一鍵式清除裝置上所有的埠隔離配置，包括埠隔離組、埠單向隔離和隔離模式相關配置。不過，飛飛，由於執行clear configuration port-isolate命令一鍵式清除的命令數量比較多，可能會影響其他業務，在使用時一定要謹慎哦！”

張飛哈哈大笑，說：“丞相，你放心吧，你不知道俺是粗中有細嗎？哈哈！”

諸葛神人笑著說：“飛飛進步越來越大了。不過最近我軍又購置了一批華為交換機，這批交換機型號、傳輸能力都各有不同，而這些交換機需要分佈在各個營寨，與之前購買的那臺交換機直接相連。現在我們想要相連交換機的介面之間的引數一致，從而保證資料能夠正常傳輸，我們該怎麼配置，飛飛你造嗎？”正在張飛丈二和尚摸不著頭腦的時候，不知姜維什麼時候從後面走了過來，拍了拍張飛的肩膀：“飛飛，你忘了丞相還有第三個錦囊妙計？”

張飛大笑，“速取第三個錦囊。”

欲知後事如何，請聽下回分解。

劇透：下期將帶給大家的是介面管理錦囊妙計之三――埠自協商。敬請期待！

根據諸葛家的獨門祕籍記載，小夥伴們如果還想了解埠組的定義和應用，請猛戳【交換機在江湖之初窺門徑】介面配置錦囊妙計之一---批量配置。

PS：版本支援情況

1.埠單向隔離和雙向隔離在所有版本均支援。

2.埠隔離模式配置命令port-isolate mode{l2|all} 在S2300、S2750EI、S5700LI和S5700S-LI上述形態上是不支援配置的，即這些形態裝置僅支援二層隔離三層互通，不支援二層三層均隔離。

想要了解更多精彩內容，請猛戳我：交換機在江湖彙總貼