端口隔離技術應用

前言：本站為你精心整理了端口隔離技術應用范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要端口隔離技術在ISP寬帶接入中已發揮重要作用，而在園區網中應用還不多，由于網絡中病毒增多、危害加大，端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況，端口隔離技術在不同廠商、不同層次交換機上不同的實現，具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。

關鍵詞端口隔離；交換機

1引言

在小區寬帶接入環境中，個別計算機中毒發包、廣播對其它接入計算機都有影響，也會占用帶寬，所以ISP在其接入交換機上早就實施了端口隔離技術，隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用，應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離，會對一些應用帶來不便，所以應用并不是很多。但是隨著網絡中病毒增多、危害加大，新的難以對付、傳播速度又快病毒出現的情況下，端口隔離技術在園區網中應用會越來越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。

2端口隔離技術綜述

端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，尤其對頭痛的ARP病毒效果明顯。

3端口隔離技術的實現

3.1端口隔離技術在H3C交換機上的實現

system-view進入系統視圖

interfaceinterface-typeinterface-number進入以太網端口視圖

portisolate將以太網端口加入到隔離組中

端口隔離技術在H3C交換機上實現很強，使用也方便，上述的三條命令就可以實現相應端口之間隔離。

3.2端口隔離技術在D-LINK交換機上的實現

configtraffic_segmentation[<portlist>]forward_list[null|<portlist>]

其中<portlist>表示指定哪個端口作為隔離端口，參數null表示沒有上連端口，參數<portlist>表示上連端口。

3.3端口隔離技術在港灣交換機上的實現

configvcnup<portlist>[notagout|tagout]baseVID<1-4069>

其中<portlist>表示指定哪個端口作為上行通信端口，可以指定一個或兩個上行端口；參數notagout表示上連端口以untag方式屬于vcn所創建的所有vlan，參數tagout表示上連端口以tag方式屬于baseVID后面所跟的vlanID。

3.4端口隔離技術在CISCO交換機上的實現

configterminal進入系統視圖

interfaceinterface-typeinterface-number進入以太網端口視圖

switchportprotected將以太網端口加入到隔離組中

CISCO的端口隔離技術實際是端口保護，起了switchportprotected的端口將不會受單播、廣播和組播的影響。

4端口隔離技術的應用

4.1端口隔離技術在企業網中的應用

圖1

圖1是典型的小企業的網絡結構，外連通過防火墻連接Inernet，內部通過交換機連接服務器、PC機，圖中采用H3C交換機，由于病毒等原因公司決定在PC之間采用端口隔離技術，而訪問服務器和Inernet要照常。在H3C交換機上連接PC的端口采用端口隔離，配置如下：

system-view進入系統視圖

interfaceEthernet1/0/1PC-A連接的端口

portisolate

interfaceEthernet1/0/2PC-B連接的端口

portisolate

interfaceEthernet1/0/3PC-C連接的端口

portisolate

交換機上服務器和防火墻連接的端口不變。

4.2端口隔離技術在校園網中的應用

圖2

圖2是典型的校園網機房的網絡結構，上連核心交換機，二層交換機PC機和教師機，圖中采用D-LINK交換機，機房內PC不用相互訪問，只需同教師機和通過核心交換機訪問校內外資源，配置如下：

configtraffic_segmentation1，24forward_list1-24

configtraffic_segmentation2-23forward_list1，24

D-LINK交換機上1號端口連接教師機，24號端口連接核心交換機，2號端口到23號端口連接PC機。

5結束語

端口隔離技術也有缺點，一是計算機之間共享不能實現；二是隔離只能在一臺交換機上實現，不能在堆疊交換機之間實現，如果是堆疊環境，只能改成交換機之間級連。希望廠家能繼續開發和增強端口隔離技術，使它能在更多環境下應用。

參考文獻：

[1]xtzj.系統之家.在交換機上配置DHCP中繼./simple/index.php?t207428.html

[2]共享聯盟.關于端口隔離技術的實現問題.http：//211.99.128.10：8080/thread-41645-1-1.html

[3]端口隔離配置.QuidwayE352&E328以太網交換機操作手冊-Release1510.華為技術有限公司.深圳市龍崗區坂田華為總部辦公樓

[4]IT樵客.http：///index.php?paged=40

[5]ciscohuawei.中國成都思科華為網絡技術認證.cisco交換機的端口隔離命令.http：///viewthread.php?tid=19099