對于交換機，我們常常對于ip的規劃比較煩惱，它的ip規劃，我們常常的做法是劃分vlan，因為劃分vlan有諸多好處，方便管理以及提升了整個網絡的安全性。除了劃分vlan還可以進行端口隔離。這兩種方法在ip規劃中使用的最多。

什么是劃分vlan

在面對ip地址較多的時候，我們常用的方法就是劃分vlan，vlan的作用是隔離廣播，同一個vlan在一個廣播域，端口隔離就是將同一個vlan不同接口再進行隔離。使用三層交換機劃分vlan，可以使vlan之間相互通信。

舉例：

某公司有1000臺電腦，公司有若干個部門，部門之間有相互往來，如何來規劃ip地址？

分析：1000臺電腦可以設置成6個網段，當然也可以設置5個網段，設置6個網段方便以后擴展性。那我們ip地址可以如下：

Vlan1:192.168.1.1/24

Vlan2:192.168.2.1/24

Vlan3:192.168.3.1/24

Vlan4:192.168.4.1/24

Vlan5:192.168.5.1/24

Vlan6:192.168.6.1/24

什么是端口隔離？

我們上面提到了，對于網型網絡來說，vlan是一種不錯的解決辦法，那除了vlan還可以使用端口隔離了。

對于有些項目，項目本身不需要不同vlan之間進行互訪，比如有些監控項目就只需要內網訪問，那么就沒有必要創建vlan了，節約網絡設備資源，采用端口隔離功能，可以實現同一vlan內端口之間的隔離。

用戶只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離一般用于內網中，端口隔離的端口之間無法相互通信，所以端口隔離功能為用戶提供了更安全的方案。

舉例：

端口隔離的方法和應用場景如下圖所示。PC1、PC2和PC3同屬于VLAN10

要求：實現pc2與pc3 不能互相訪問，pc1與 pc2之間可以互相訪問 pc1與pc3之間可以互相訪問。

Pc 1 10.10.10.1  255.255.255.0  連接交換機 GE1/0/1端口

Pc 2 10.10.10.2   255.255.255.0  連接交換機  GE1/0/2端口

Pc 3 10.10.10.3   255.255.255.0 連接交換機  GE1/0/3端口

網關為：10.10.10.4

配置步驟：

system-view     #進入系統視圖

[Huawei]vlan 10     #創建vlan 10

[Huawei-vlan10]int vlan   10    #進入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24    #設置vlan 10 ip 與掩碼

[Huawei-Vlanif10]quit    #退出

[Huawei]int GigabitEthernet 1/0/3     #進入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access  #設置端口模式為access 模式，access端口只能屬于一個vlan；

[Huawei]int GigabitEthernet 1/0/2   #進入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access  #設置端口模式為access 模式

[Huawei-GigabitEthernet1/0/2]quit    #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3    #隔離端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3    #進入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2     #隔離端口 2

[Huawei-GigabitEthernet1/0/3]quit

這種實現了端口與端口3之間不能互相通信。

優點：

作為交換機有效的訪問控制安全控制機制之一：端口隔離，其安全、靈活的特性在實際組網中應用廣泛，它可以將指定的端口可以加入到特定的端口隔離組中，同一端口隔離組的端口之間互相隔離，不同端口隔離組的端口之間不隔離。

端口隔離與劃分vlan的區別

1、端口隔離的端口之間無法相互通信，但可以與上聯口通信；VLAN是同VLAN ID的端口可以任意通信，不同VLAN之間不能直接通信。

2、端口隔離的各個端口仍然處于同一IP段；VLAN則必須每個VLAN對應一個獨立的IP段。

3、端口隔離僅限于單臺交換機，即無法控制通過上聯口互聯的兩臺交換機之間的隔離端口的通信；VLAN可以跨越多臺交換機，只要VLAN ID不同，就無法直接通信。