在交换机上可以不再依靠 van 起到单纯的业务隔离作用。这个时候端口隔离技术的出现解决了VLAN不够用且可以真正的做到无关ip、无关 van 也可以限制通信的效果。

端口隔离技术，将不需要互通的业务，加入到同一个隔离组(group 相同的)内才执行隔离，不同的group 之间是不受影响的。

其实交换机实现这个特性很简单，数据包要从接口发出时，检查发送出去的接口下和接收到这个数据包的接口下的端口隔离组是否一样，如果一样则丢包，反之则发送

端口隔离技术，更多的是运用在网关在同一台设备上但是又不想他俩之间直接互通的场景下。

port-isolate 是二层隔离还是三层隔离，不是取决于这个流量最终是走三层转发还是走二层转发，而是这个流量到达了需要去进行端口隔离的设备时，本设备是只查找二层的 MAC地址表转发(2 层隔离)，还是查找路由 +ARP 转发(3 层隔离)来判断 port-isolate 的模式的。

一个用于不想通信的业务就被隔离的小特性，了解即可，不会错误的理解里面的模式即可

port-isolate mode all/L2
interface g 0/0/1
port-isolate enable group xxxxx