引言：有些时候，我们并不希望物理连接在一起的计算机之间相互通信，而需要把它们相互逻辑隔离起来。本文就交换机端口隔离方法进行论述，说明物理连接情况下逻辑隔离在网络管理实践中的应用。

作为一个网络管理者，需对联网计算机采取隔离措施。以下是我在单位中常遇到需要隔离的事例：

事例1：要在电脑教室中进行某类考试，各计算机之间不允许互相通信。但每台学生机必须能联通到教师机，因为教师机需要给每台学生机下发试题，同时学生机需要上交试卷到教师机。

事例2：学生喜欢联网共享游戏，这就需要学生机互相隔离。但学生机是需要联通到学校局域网和Internert的，因为学生需要访问学校网站和到外网上查找资料。

事例3：根据需要进行分组隔离。

联网计算机相互隔离的方法

方法一：通过操作系统本身禁止共享和访问。

1.在“服务”中关闭“Server” 服务和“Workstation”服务；

2.在“用户权限分配”的“允许从网络访问这台计算机”中删除“Everyone”和“Guest”等用户；

3.在“拒绝从网络访问这台计算机”当中增加“Everyone”和“Guest”等用户。

方法二：通过VLAN、子网或ACL进行隔离。

把需要隔离的计算机划分到不同的VLAN中；或把需要隔离的计算机划分到不同的子网中；或利用ACL等。这些都可以实现隔离的目的，但都没有端口隔离来得简明扼要。

方法三：通过交换机的端口隔离进行隔离。

不同型号交换机的端口隔离命令有些区别，比如有些Cisco和锐捷交换机隔离命令是switchport protected。有些华为和H3C交换机隔离命令是Port-isolate enable或 者交换机隔离命令是isolateport allowed ethernet。本文以华为S5700为例，其它型号可举一反三。

单交换机端口隔离的实现

如图1所示的拓扑结构，g0/0/1-g0/0/22为学生机端口，g0/0/23为教师机端口，g0/0/24为上联端口。其中上联端口和教师机端口不要被隔离，只把学生机所在的端口隔即可。隔离命令为：

跨交换机端口隔离的实现

事实上，如果电脑室有56台计算机，若使用24电口交换机就需要三台。通过实际操作会发现下面的问题，计算机接入端口被隔离后，同一交换机下的所有计算机确实是被隔离了，但跨交换机之间的计算机仍然是能ping通的。也就是说，计算机所在端口隔离只隔离了同一交换机端口下的计算机，对于跨交换机端口下的计算机并没有被隔离。如2 GE0/0/21和GE0/0/22端口。而各交换机的上联端口是不能被隔离的，如S1、S2和S3的GE0/0/24端口，否则上联端口不能转发数据。S1具体配置如下：

图1 单交换机拓扑结构图

图2 跨交换机拓扑结构图

图3 分组拓扑结构图

S2和S3的配置同理可得，略。拓扑图中，学生机1和学生机2被隔离了，但学生机1和学生机3、学生机1和学生机4还是可以通信的。

要实现跨交换机的隔离，必须要把承担着汇聚的交换机S1的下联端口当成普通接入端口进行隔离，如图2所示的拓扑图中S1的

分组隔离

如图3拓扑图所示，假如学生机1、学生机2为第一隔离组，学生机3、学生机4为第二隔离组。配置命令如下：