voice vlan端口隔离不生效

H3C 交换机端口隔离的机制在 同一 VLAN 内 生效。您观察到的现象——业务 VLAN 流量被隔离，而 Voice VLAN 流量未被隔离——是完全符合设计预期的。其机制如下：

1. 端口隔离的核心作用域是同一个VLAN：

   • 端口隔离组内配置的隔离规则，仅作用于加入到该组内且处于同一个VLAN中的端口之间。
   • 当这些端口处于同一个VLAN时，它们之间的二层报文（ARP、未知单播、组播、广播）被阻止相互转发，实现该 VLAN 内的用户隔离。

2. Voice VLAN 是独立的广播域：

   • Voice VLAN 是为语音流量专门划分的一个独立VLAN。
   • 即使连接 IP 话机的物理接口也同时属于业务 VLAN（例如通过 port trunk permit 允许）和 Voice VLAN（通过 voice-vlan enable 加入或自动加入），它们在逻辑上仍然是两个不同的广播域。

3. 端口隔离对跨VLAN流量无效：

   • 同一个物理接口属于业务 VLAN 和 Voice VLAN 后，相当于它在两个不同的逻辑层工作。
   • 端口隔离规则 只限制它在业务 VLAN 这个逻辑层上与组内其他隔离端口在业务 VLAN 上的通信。
   • 端口隔离规则 不会限制它作为 Voice VLAN 成员口与其他端口在 Voice VLAN 这个逻辑层上的通信。Voice VLAN 内的通信遵循常规的 VLAN 二层转发规则。
   • 信息中提到：“隔离组内端口与未加入隔离组的端口之间二层流量双向互通。” 这更进一步说明，端口隔离仅作用于隔离组内部同一VLAN的端口之间，不影响其与外部端口（即使在同一VLAN）或与其他VLAN的通信。

简单来说：

• 您在业务 VLAN (例如 VLAN 10) 上应用了端口隔离，让这些接口在 VLAN 10 内部彼此不能互通。这隔离了数据业务流量。
• Voice VLAN (例如 VLAN 20) 是一个单独的 VLAN。
• 虽然物理接口同时是 VLAN 10 和 VLAN 20 的成员，但端口隔离规则只在 VLAN 10 内生效。
• 在 VLAN 20 (Voice VLAN) 中，这些物理接口被视为同一个广播域的普通成员，它们之间以及与其他Voice VLAN成员的通信不受业务VLAN端口隔离规则的限制，语音报文可以正常互通。

总结：

Voice VLAN 流量未被隔离，根本原因是 Voice VLAN 本身是一个独立于业务 VLAN 的广播域。端口隔离的功能设计仅限在同一个VLAN内部对成员端口进行隔离，它没有能力也不会跨越到另一个独立的VLAN（如Voice VLAN）中去限制其内部通信。这就是您观察到的现象背后的设计机制。