交换机实现vlan内部二层端口隔离

不同vlan是不同ip段吗？
如果是，可以通过包过滤实现，vlan20的11-20口做端口隔离；
如果是同一个段，地址固定可以用包过滤，地址不固定无法实现。

您好，请知：

如果是跨网段不能互访，要使用ACL来实现。

如果是同网段不能互访且在同一个二层交换机上，可以使用端口隔离来实现，以下是配置案例：

1.4  端口隔离典型配置举例

1. 组网需求

如图1-1所示，小区用户Host A、Host B、Host C分别与Device的端口Ten-GigabitEthernet1/0/25、Ten-GigabitEthernet1/0/26、Ten-GigabitEthernet1/0/27相连，Device设备通过Ten-GigabitEthernet1/0/28端口与外部网络相连。现需要实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通，但可以和外部网络通信。

2. 组网图

图1-1 端口隔离组网图

‌

3. 配置步骤

# 创建隔离组2。

<Device> system-view

[Device] port-isolate group 2

# 将端口Ten-GigabitEthernet1/0/25、Ten-GigabitEthernet1/0/26、Ten-GigabitEthernet1/0/27加入隔离组2。

[Device] interface ten-gigabitethernet 1/0/25

[Device-Ten-GigabitEthernet1/0/25] port-isolate enable group 2

[Device-Ten-GigabitEthernet1/0/25] quit

[Device] interface ten-gigabitethernet 1/0/26

[Device-Ten-GigabitEthernet1/0/26] port-isolate enable group 2

[Device-Ten-GigabitEthernet1/0/26] quit

[Device] interface ten-gigabitethernet 1/0/27

[Device-Ten-GigabitEthernet1/0/27] port-isolate enable group 2

[Device-Ten-GigabitEthernet1/0/27] quit

4. 验证配置

# 显示隔离组2中的信息。

[Device] display port-isolate group 2

 Port isolation group information:

 Group ID: 2

 Group members:

    Ten-GigabitEthernet1/0/25     Ten-GigabitEthernet1/0/26

    Ten-GigabitEthernet1/0/27

以上信息显示Device上的端口Ten-GigabitEthernet1/0/25、Ten-GigabitEthernet1/0/26、Ten-GigabitEthernet1/0/27已经加入隔离组2，从而实现二层隔离，Host A、Host B和Host C彼此之间不能ping通。