搭建实验拓扑图

创建vlan

在Switch1和Switch2上分别创建vlan 10、vlan20并将对应的端口分别加入到vlan中

<H3C>system-view
[H3C]sysname Switch1
[Switch1]vlan 10
[Switch1-vlan10]port GigabitEthernet 1/0/2
[Switch1-vlan10]vlan 20
[Switch1-vlan20]port GigabitEthernet 1/0/3

<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]sysname Switch2
[Switch2]vlan 10
[Switch2-vlan10]port GigabitEthernet 1/0/2
[Switch2-vlan10]vlan 20
[Switch2-vlan20]port GigabitEthernet 1/0/3

这里注意一下，HCL在进入交换机的时候，在接口需要上1，不然汇报错进不了接口；路由器则不需要

查看vlan信息

[Switch1]display vlan brief

 可以看到，在Switch1上已经存在了vlan 10、vlan20，并且都有相应的接口在vlan中

配置IP地址

配置Trunck链路

[Switch1]interface GigabitEthernet 1/0/1
[Switch1-GigabitEthernet1/0/1]port link-type trunk
[Switch1-GigabitEthernet1/0/1]port trunk permit vlan all

[Switch2]interface GigabitEthernet 1/0/1
[Switch2-GigabitEthernet1/0/1]port link-type trunk
[Switch2-GigabitEthernet1/0/1]port trunk permit vlan all

这里配置trunck链路是为运行多个vlan在链路上传送，到达下一个交换机

配置access链路

access链路主要是用在交换机连接PC的端口设置

[Switch1]interface GigabitEthernet 1/0/2
[Switch1-GigabitEthernet1/0/2]port link-type access
[Switch1]interface GigabitEthernet 1/0/3
[Switch1-GigabitEthernet1/0/3]port link-type access

[Switch2]interface GigabitEthernet 1/0/2
[Switch2-GigabitEthernet1/0/2]port link-type access
[Switch2]interface GigabitEthernet 1/0/3
[Switch2-GigabitEthernet1/0/3]port link-type access

 测试连通性

在vlan技术中，同一vlan才能够通信，而不同的vlan则不可以通信

在我们的拓扑中，PC1与PC3可以同，PC1与PC2、PC4不同

 ok，没有问题！这就是vlan相关基本配置

配置端口隔离

端口隔离，在交换机上实现了允许或拒绝某个端口之间进行访问，在一定程度上实现了安全机制

拓扑图

配置PC1、PC2的IP地址

<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]sysname Switch1
[Switch1]port-isolate group 1
[Switch1]interface GigabitEthernet 1/0/1
[Switch1-GigabitEthernet1/0/1]port-isolate group 1
[Switch1]interface GigabitEthernet 1/0/2
[Switch1-GigabitEthernet1/0/2]port-isolate group 1

验证

可以看到，配置了 端口隔离后，同一交换机下的PC之间不能进行访问了