对于交换机，我们常常对于ip的规划比较烦恼，它的ip规划，我们常常的做法是划分vlan，因为划分vlan有诸多好处，方便管理以及提升了整个网络的安全性。除了划分vlan还可以进行端口隔离。这两种方法在ip规划中使用的最多。 

什么是划分vlan 

在面对ip地址较多的时候，我们常用的方法就是划分vlan，vlan的作用是隔离广播，同一个vlan在一个广播域，端口隔离就是将同一个vlan不同接口再进行隔离。使用三层交换机划分vlan，可以使vlan之间相互通信。

举例： 

某公司有1000台电脑，公司有若干个部门，部门之间有相互往来，如何来规划ip地址？

分析：1000台电脑可以设置成6个网段，当然也可以设置5个网段，设置6个网段方便以后扩展性。那我们ip地址可以如下： 

Vlan1:192.168.1.1/24

Vlan2:192.168.2.1/24 

Vlan3:192.168.3.1/24 

Vlan4:192.168.4.1/24 

Vlan5:192.168.5.1/24 

Vlan6:192.168.6.1/24 

什么是端口隔离？ 

我们上面提到了，对于网型网络来说，vlan是一种不错的解决办法，那除了vlan还可以使用端口隔离了。

  对于有些项目，项目本身不需要不同vlan之间进行互访，比如有些监控项目就只需要内网访问，那么就没有必要创建vlan了，节约网络设备资源，采用端口隔离功能，可以实现同一vlan内端口之间的隔离。 

用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离一般用于内网中，端口隔离的端口之间无法相互通信，所以端口隔离功能为用户提供了更安全的方案。

举例： 

端口隔离的方法和应用场景如下图所示。PC1、PC2和PC3同属于VLAN10 

要求：实现pc2与pc3 不能互相访问，pc1与 pc2之间可以互相访问 pc1与pc3之间可以互相访问。

Pc 1 10.10.10.1  255.255.255.0  连接交换机 GE1/0/1端口 

Pc 2 10.10.10.2   255.255.255.0  连接交换机  GE1/0/2端口 

Pc 3 10.10.10.3   255.255.255.0 连接交换机  GE1/0/3端口 

网关为：10.10.10.4 

配置步骤： 

system-view     #进入系统视图 

[Huawei]vlan 10     #创建vlan 10 

[Huawei-vlan10]int vlan   10    #进入vlan 10 

[Huawei-Vlanif10]ip address 192.168.1.1 /24    #设置vlan 10 ip 与掩码 

[Huawei-Vlanif10]quit    #退出

[Huawei]int GigabitEthernet 1/0/3     #进入端口3 

[Huawei-GigabitEthernet1/0/3]port link-type access  #设置端口模式为access 模式，access端口只能属于一个vlan； 

[Huawei]int GigabitEthernet 1/0/2   #进入端口2 

[Huawei-GigabitEthernet1/0/2]port link-type access  #设置端口模式为access 模式 

[Huawei-GigabitEthernet1/0/2]quit    #退出 

[Huawei]int GigabitEthernet 1/0/2 

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3    #隔离端口 3 

[Huawei-GigabitEthernet1/0/2]quit 

[Huawei]int GigabitEthernet 1/0/3    #进入端口3 

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2     #隔离端口 2 

[Huawei-GigabitEthernet1/0/3]quit 

这种实现了端口与端口3之间不能互相通信。 

优点： 

  作为交换机有效的访问控制安全控制机制之一：端口隔离，其安全、灵活的特性在实际组网中应用广泛，它可以将指定的端口可以加入到特定的端口隔离组中，同一端口隔离组的端口之间互相隔离，不同端口隔离组的端口之间不隔离。

端口隔离与划分vlan的区别

1、端口隔离的端口之间无法相互通信，但可以与上联口通信；VLAN是同VLAN ID的端口可以任意通信，不同VLAN之间不能直接通信。 

2、端口隔离的各个端口仍然处于同一IP段；VLAN则必须每个VLAN对应一个独立的IP段。 

3、端口隔离于单台交换机，即无法控制通过上联口互联的两台交换机之间的隔离端口的通信；VLAN可以跨越多台交换机，只要VLAN ID不同，就无法直接通信。