飞速(FS) S3900系列交换机端口隔离功能配置指南

端口隔离是一项针对同一vlan内端口之间隔离的技术。该功能通过将指定端口加入到隔离组中，来实现隔离组内端口之间二层数据的隔离。飞速(FS)S3900系列交换机是Layer 2+ (Layer 3 Lite)千兆可堆叠管理型交换机，可支持端口隔离功能，为用户提供更具安全和灵活性的组网方案。

飞速(FS) S3900系列交换机端口隔离的应用

以飞速(FS)三台S3900系列交换机和一台S5850-32S2Q交换机在二层网络下的同一VLAN进行端口隔离配置的应用为例。S3900-24F4S-A交换机的端口22和23分别与S3900-24F4S-B和S3900-24T4S交换机相连，与此同时，将端口22和23配置为一个端口隔离组。在此端口隔离组下，端口22和23之间将无法进行数据传输，但其仍可与S5850-32S2Q交换机保持正常通信。基于此应用，端口隔离组下的2条链路的网络通信安全可得到有力保障。

飞速(FS) S3900系列交换机端口隔离的硬件连接

飞速(FS) S3900系列交换机包含S3900-24T4S，S3900-24F4S和S3900-48T4S三种型号，这三款交换机均可支持端口隔离功能。该功能主要针对设备端口进行配置，无特定硬件连接方式，用户可按照实际需求进行布线。

注意：

• 飞速(FS) S3900系列交换机最多可支持创建四个端口隔离组。每个端口隔离组内可加入的端口数量没有限制。

• 端口隔离只适用于同一台交换机上的不同端口之间，不支持在堆叠的交换机上进行端口隔离。

• 除了端口隔离组的下行链路端口之间无法通信，下行链路端口可与同交换机上的其他非隔离端口以及上行链路端口正常通信。

飞速(FS) S3900系列交换机端口隔离配置思路

S3900系列交换机的端口隔离功能可通过CLI和WEB界面的方式配置实现。根据上文所述的S3900系列交换机进行端口隔离的组网应用，这里将主要以CLI命令配置方式为例讲解其具体配置步骤。主要配置思路，如下：

• 分别配置三台S3900系列交换机和一台S5850-32S2Q交换机的VLAN、IP地址、以及接口模式。

• 对指定端口进行端口隔离配置。

• 验证配置是否成功建立。

S3900系列交换机通过CLI配置端口隔离

1. 在S3900-24F4S-A交换机上创建vlan 2，并为其添加IP地址， 配置接口22、23、24为trunk模式，允许vlan 2通过。

S3900-24F4S-A#configure terminal

S3900-24F4S-A(config)#interface vlan 2

S3900-24F4S-A(config-if)#ip add 10.1.1.1/24

S3900-24F4S-A(config-if)#exit

S3900-24F4S-A(config)#interface ethernet 1/22

S3900-24F4S-A(config-if)#switchport mode trunk

S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2

S3900-24F4S-A(config-if)#exit

S3900-24F4S-A(config)#interface ethernet 1/23

S3900-24F4S-A(config-if)#switchport mode trunk

S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2

S3900-24F4S-A(config-if)#exit

S3900-24F4S-A(config)#interface ethernet 1/24

S3900-24F4S-A(config-if)#switchport mode trunk

S3900-24F4S-A(config-if)#switchport trunk allowed vlan add 2

S3900-24F4S-A(config-if)#exit

2. 对S3900-24F4S-A交换机进行端口隔离配置。

S3900-24F4S-A(config)#traffic-segmentation

S3900-24F4S-A(config)#traffic-segmentation downlink ethernet 1/22

S3900-24F4S-A(config)#traffic-segmentation downlink ethernet 1/23

S3900-24F4S-A(config)#traffic-segmentation uplink ethernet 1/24

3. 查看S3900-24F4S-A交换机的端口隔离配置状态，验证配置是否成功建立。

S3900-24F4S-A#show traffic-segmentation

Traffic Segmentation Status: Enabled

Traffic pass through uplink ports: No

4. 为S3900-24F4S-B、S3900-24T4S、 以及S5800-32S2Q交换机分别创建vlan 2并添加相应的IP地址，分别将交换机的接口22、24、23设置为trunk模式，允许vlan 2通过。

S3900-24F4S-B#configure terminal

S3900-24F4S-B(config)#interface vlan 2

S3900-24F4S-B(config-if)#ip add 10.1.1.2/24

S3900-24F4S-B(config-if)#exit

S3900-24F4S-B(config)#interface ethernet 1/22

S3900-24F4S-B(config-if)#switchport mode trunk

S3900-24F4S-B(config-if)#switchport trunk allowed vlan add 2

S3900-24F4S-B(config-if)#exit

S3900-24T4S#configure terminal

S3900-24T4S(config)#interface vlan 2

S3900-24T4S(config-if)#ip add 10.1.1.4/24

S3900-24T4S(config-if)#exit

S3900-24T4S(config)#interface ethernet 1/24

S3900-24T4S(config-if)#switchport mode trunk

S3900-24T4S(config-if)#switchport trunk allowed vlan add 2

S3900-24T4S(config-if)#exit

S5850-32S2Q#configure terminal

S5850-32S2Q(config)# interface vlan 2

S5850-32S2Q(config-if)# ip address 10.1.1.3/24

S5850-32S2Q(config-if)#exit

S5850-32S2Q(config)#interface ethernet-0-23

S5850-32S2Q(config-if)#switchport mode trunk

S5850-32S2Q(config-if)#switchport trunk allowed vlan add 2

S5850-32S2Q(config-if)#exit