端口隔离(Port Isolation) 的初衷是为了在不消耗 VLAN 资源的前提下,实现同一广播域(Same VLAN)内的流量控制。
在华为 VRP 架构中,端口隔离的表现取决于 port-isolate mode 的配置。其二层与三层隔离的核心差异在于 “流量上送决策点” 的不同。
1. 二层隔离(Layer 2 Isolation)
这是端口隔离的默认模式(port-isolate mode layer2)。
- 技术表现 :
- 阻断点 :发生在交换机的 MAC 地址表转发阶段 。当两个属于同一隔离组的接口(Interface A & B)试图通过二层 MAC 寻址进行通信时,交换机芯片(ASIC)会检查隔离组表项并直接丢弃报文。
- 现象 :同 VLAN 内的主机无法互相 Ping 通(如果它们在同一子网)。ARP 请求(广播)在进入隔离组端口后,不会从同组的其他端口转发出去。
- “三层互通”的玄机 :
- 虽然 A 和 B 无法直接通过二层交换通信,但如果它们通过 三层网关 (如直连的子接口或 VLANIF 接口)进行通信,且网关开启了 Proxy ARP(代理 ARP) ,报文会先送往 CPU 或网关路径,再由三层重新下发。由于三层转发不经过二层隔离过滤表,通信得以建立。
2. 三层隔离(Layer 3 Isolation / All mode)
通过命令 port-isolate mode all 触发。
- 技术表现 :
- 阻断点 :不仅在 MAC 转发层面进行过滤,还关联了 VSI 或路由查找流程 。
- 现象 :即便是通过网关(VLANIF)进行三层转发,或者使用代理 ARP,处于同一隔离组的端口之间也 绝对无法通信 。
- 原理深度 :在
all模式下,硬件会在转发逻辑中打上一个“隔离标记(Isolation Tag)”。当报文试图从接口 A 流向接口 B 时,无论是二层交换还是三层路由后的重封装入队,芯片都会比对 Source Port 和 Destination Port 的隔离属性。如果匹配,强制丢弃。
3. 关键差异对比表
| 特性维度 | 二层隔离 (mode layer2) | 二三层隔离 (mode all) |
|---|---|---|
| 主要过滤依据 | 入接口与出接口的隔离组 ID | 硬件级全路径强制隔离标记 |
| ARP 表现 | 广播 ARP 被阻断,无法学习 MAC | 广播 ARP 被阻断,单播路由亦被阻断 |
| 三层网关通信 | 支持 (需配合 Proxy ARP) | 完全不支持 |
| 典型场景 | 宾馆/宿舍:住户间二层隔离,但需访问网关 | 金融/涉密安全:严禁同一 VLAN 内任何形式的互访 |
| VLAN 消耗 | 节省(多个隔离组共享 1 个 VLAN) | 节省(同左) |
4. 思考:与 VSI 的联动
在 VXLAN(BGP EVPN)组网中,端口隔离同样生效。
- 如果接口绑定了 VSI ,配置
port-isolate enable可以在 VXLAN 的 AC 接入侧实现隔离。 - 需要注意:传统的端口隔离仅在本地交换机实体上生效。如果你需要跨交换机的隔离,通常需要配合 Private VLAN (MUX VLAN) 或者在分布式网关上通过 Traffic Policy 来下发更高级别的 ACL。