飞速（FS） S3900系列交换机端口隔离功能配置指南

更新于 2024年04月23日 by

 645

端口隔离是一项针对同一vlan内端口之间隔离的技术。该功能通过将指定端口加入到隔离组中，来实现隔离组内端口之间二层数据的隔离。飞速（FS）S3900系列交换机是L2+ 千兆可堆叠管理型交换机，可支持端口隔离功能，为用户提供更具安全和灵活性的组网方案。

S3900系列交换机更多配置操作说明请参阅：飞速（FS） S3900系列交换机如何配置基于MAC地址划分VLAN？

飞速（FS） S3900系列交换机端口隔离的应用

以飞速（FS）3台S3900系列交换机和1台S5850-32S2Q交换机在L2网络下的同一VLAN进行端口隔离配置的应用为例。S3900-24F4S-A交换机的端口22和23分别与S3900-24F4S-B和S3900-24T4S交换机相连，与此同时，将端口22和23配置为一个端口隔离组。在此端口隔离组下，端口22和23之间将无法进行数据传输，但其仍可与S5850-32S2Q交换机保持正常通信。基于此应用，端口隔离组下的2条链路的网络通信安全可得到有力保障。

交换机

飞速（FS） S3900系列交换机端口隔离的硬件连接

飞速（FS） S3900系列交换机包含S3900-24T4S，S3900-24F4S和S3900-48T4S三种型号，这三款交换机均可支持端口隔离功能。该功能主要针对设备端口进行配置，无特定硬件连接方式，用户可按照实际需求进行布线。

注意：

飞速（FS） S3900系列交换机最多可支持创建四个端口隔离组。每个端口隔离组内可加入的端口数量没有限制。
端口隔离只适用于同一台交换机上的不同端口之间，不支持在堆叠的交换机上进行端口隔离。
除了端口隔离组的下行链路端口之间无法通信，下行链路端口可与同交换机上的其他非隔离端口以及上行链路端口正常通信。

飞速（FS） S3900系列交换机端口隔离配置思路

S3900系列交换机的端口隔离功能可通过CLI和WEB界面的方式配置实现。根据上文所述的S3900系列交换机进行端口隔离的组网应用，这里将主要以CLI命令配置方式为例讲解其具体配置步骤。主要配置思路，如下：

分别配置三台S3900系列交换机和一台S5850-32S2Q交换机的VLAN、IP地址、以及接口模式。

需要在交换机上实现的端口隔离级别，包括物理隔离、VLAN隔离或设备隔离等。如果需要进行VLAN隔离，首先创建相应的VLAN。为每个隔离的组设置不同的VLAN ID，并将相应的端口分配给这些VLAN。

对指定端口进行端口隔离配置。

根据需求，可以使用不同的隔离机制来配置端口隔离。这可能包括私有VLAN、端口隔离组、ACL（访问控制列表）等。 ①私有VLAN：使用私有VLAN将不同的端口隔离在同一VLAN中，以阻止彼此之间的通信。 ②端口隔离组：将需要隔离的端口分配到不同的隔离组中，并设置相应的隔离规则，以限制它们之间的通信。 ③ACL：使用ACL来限制特定端口之间的通信流量，可以根据源和目的IP地址、端口号等条件进行配置。

验证配置是否成功建立。

确保隔离配置正常工作。可以通过尝试在隔离的端口之间进行通信或使用网络分析工具来验证隔离效果。

飞速（FS）S3900系列交换机通过CLI配置端口隔离

1. 在S3900-24F4S-A交换机上创建vlan 2，并为其添加IP地址，配置接口22、23、24为trunk模式，允许vlan 2通过。

S3900-24F4S-A#configure terminal
S3900-24F4S-A(config)#interface vlan 2
S3900-24F4S-A(config-if)#ip add 10.1.1.1/24
S3900-24F4S-A(config-if)#exit
S3900-24F4S-A(config)#interface ethernet 1/22
S3900-24F4S-A(config-if)#switchport mode trunk
S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2
S3900-24F4S-A(config-if)#exit
S3900-24F4S-A(config)#interface ethernet 1/23
S3900-24F4S-A(config-if)#switchport mode trunk
S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2
S3900-24F4S-A(config-if)#exit
S3900-24F4S-A(config)#interface ethernet 1/24
S3900-24F4S-A(config-if)#switchport mode trunk
S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2
S3900-24F4S-A(config-if)#exit

2. 对S3900-24F4S-A交换机进行端口隔离配置。

S3900-24F4S-A(config)#traffic-segmentation
S3900-24F4S-A(config)#traffic-segmentation downlink ethernet 1/22
S3900-24F4S-A(config)#traffic-segmentation downlink ethernet 1/23
S3900-24F4S-A(config)#traffic-segmentation uplink ethernet 1/24

3. 查看S3900-24F4S-A交换机的端口隔离配置状态，验证配置是否成功建立。

S3900-24F4S-A#show traffic-segmentation
Traffic Segmentation Status: Enabled
Traffic pass through uplink ports: No

traffic segmentation.png

4. 为S3900-24F4S-B、S3900-24T4S、以及S5800-32S2Q交换机分别创建vlan 2并添加相应的IP地址，分别将交换机的接口22、24、23设置为trunk模式，允许vlan 2通过。

S3900-24F4S-B#configure terminal
S3900-24F4S-B(config)#interface vlan 2
S3900-24F4S-B(config-if)#ip add 10.1.1.2/24
S3900-24F4S-B(config-if)#exit
S3900-24F4S-B(config)#interface ethernet 1/22
S3900-24F4S-B(config-if)#switchport mode trunk
S3900-24F4S-B(config-if)#switchport trunk allowed vlan add 2
S3900-24F4S-B(config-if)#exit

S3900-24T4S#configure terminal
S3900-24T4S(config)#interface vlan 2
S3900-24T4S(config-if)#ip add 10.1.1.4/24
S3900-24T4S(config-if)#exit
S3900-24T4S(config)#interface ethernet 1/24
S3900-24T4S(config-if)#switchport mode trunk
S3900-24T4S(config-if)#switchport trunk allowed vlan add 2
S3900-24T4S(config-if)#exit

S5850-32S2Q#configure terminal
S5850-32S2Q(config)# interface vlan 2
S5850-32S2Q(config-if)# ip address 10.1.1.3/24
S5850-32S2Q(config-if)#exit
S5850-32S2Q(config)#interface ethernet-0-23
S5850-32S2Q(config-if)#switchport mode trunk
S5850-32S2Q(config-if)#switchport trunk allowed vlan add 2
S5850-32S2Q(config-if)#exit