一.1. 端口隔离技术背景

目前网络中以太网技术的应用非常广泛。然而，各种网络攻击的存在（例如针对ARP、DHCP等协议的攻击、勒索病毒攻击、宾馆等公共场所的广播泛洪攻击等等），不仅造成了网络合法用户无法正常访问网络资源，而且对网络信息安全构成严重威胁，因此以太网交换的安全性越来越重要。谈到以太网二层安全大家很快会想到VLAN，VLAN确实可以实现报文之间的二层隔离，缩小了广播域的范围一定程度上提升了网络的安全性。但Vlan 内部呢？相同Vlan内不同的端口之间如何隔离呢？接下来我们来看三个场景。

场景①：

上图中存在两个问题：

问题1：大型网络中，业务需求种类繁多，只通过VLAN实现报文二层隔离，会浪费有限的VLAN资源。

问题2：PC1与PC2并没有做到二层隔离。

PS：针对以上问题，有人可能会想到使用ACL做隔离，但ACL属于三层技术（虽然有二层ACL，但二层ACL并不能解决该问题），主要应用于控制不同vlan的互访。那么上述问题该如何解决呢？

场景②：

图中Switch所有接口都属于vlan2，PC1为第三方驻场运维人员，为了保证数据的安全性，要求第三方PC1 不能直接访问数据库server，要求其只能先登录堡垒机，以堡垒机为跳板来访问server（此时堡垒机可以对其访问过程进行授权和审计）。当然内部工作人员PC2 是可以直接访问数据库的。该问题又该如何解决呢？使用ACL嘛，ACL在该场景中当然无法做到，因为上述场景是二层互访限制，而ACL主要应用于三层环境（虽然有二层ACL但二层ACL并不适用于该场景）。或者上述的二层Switch 不支持ACL。

场景③：

图中二层交换机所有接口都属于Vlan2，现在用户希望能够实现图中的单向访问需求即Server可以将报文发向PC（如UDP的流媒体报文或者组播报文，无需回包）但PC无法将报文发给Server。想要实现上述需求最适合的设备莫过于防火墙，但图中显然没有这个条件。

还有一些场景，如接在同一个无线AP下面的多个无线终端设备也需要进行隔离（同一个vlan内不同用户间隔离），尤其是一些公共场所。上述需求该如何解决呢？

其实想要解决上面几个场景的问题也很简单，那就是接来我们要介绍的Vlan内端口隔离技术。

一.2. 端口隔离技术概述

采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离分成两种：

① 双向隔离

同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能。

② 单向隔离

为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现。华为设备缺省情况下，未配置端口单向隔离。

注意1：在一台交换机上可以创建多个隔离组，处于相同隔离组的端口互相隔离。

注意2：一个接口可以同时加入多个隔离组（用于完成复杂访问需求）。

注意3：隔离组具有本地意义（本台交换机有效），在同一台交换机上生效。

注意4：本文提到的端口隔离为常用的二层隔离（默认方式）。Vlan内三层隔离（vlan内arp代理场景）应用场景较少，在此不做讨论。

注意5：端口隔离在access和trunk 两种接口下都可以生效。

一.3. 端口隔离配置命令(华为设备）

Int Gi0/0/3

port-isolate enable group 1 将接口Gi0/0/3 加入隔离组1

Int gi 0/0/5

am isolate GigabitEthernet 0/0/6 单向隔离从5口进入的流量不能从6口发出，但从6口进入的流量可以从5口发出

一.4. 端口隔离配置举例

如图所示：PC1、PC2和PC3属于VLAN 2，通过配置端口隔离，使PC3可以与PC1、PC2通信，但是PC1和PC2之间无法通信。

配置如下：

[Switch] vlan 2

[Switch] interface GigabitEthernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access 端口模式配置为access

[Switch-GigabitEthernet0/0/1] port default vlan 2 端口加入vlan2

[Switch-GigabitEthernet0/0/1] port-isolate enable group 2 端口加入隔离组2

[Switch] interface GigabitEthernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 2

[Switch-GigabitEthernet0/0/2] port-isolate enable group 2

[Switch] interface GigabitEthernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 2

调试命令及验证：

[SW]display port-isolate group 2

The ports in isolate group 2:

GigabitEthernet0/0/1 GigabitEthernet0/0/2

PC1>ping 10.1.1.2

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break

From 10.1.1.1: Destination host unreachable

--- 10.1.1.2 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

一.5. 思考题

上图中，要求所有PC都可以访问Router，且PC1可以访问PC2，但PC1-PC3、PC2-PC3之间不能互访。如何实现上述要求呢？

VLAN内端口隔离技术相关推荐

交换机高级特性简介：MUX VLAN、端口隔离功能、端口安全功能简单原理与配置
文章目录 MUX VLAN MUX VLAN应用场景 MUX VLAN基本概念实验配置配置命令端口隔离端口隔离基本概念实验配置配置命令端口安全(Port Security) 端口安全基本 ...
交换机端口隔离技术应用
某公司,由于业务要求,为了保障服务器高可用性,对服务器实现了NLB群集技术.万事有利就有弊,由于NLB群集在实际环境中一般采用多播技术,交换机同一出口下的节点均为收到大量广播,一些网络延时要求较小(如 ...
vlan的端口隔离及端口优化——“道高一尺魔高一丈”
"道高一尺魔高一丈"-vlan的端口隔离及端口优化目录:端口隔离及优化实验操作与总结 "道高一尺魔高一丈"-vlan的端口隔离及端口优化端口隔离-制定ACL ...
端口隔离和VLAN内ARP代理
端口隔离功能可以实现同一VLAN内端口之间的隔离不同隔离组之间是可以互访的,只是隔离组内部是不可以相互访问的关键配置: interface Vlanif1 # interface Vlanif10 ...
端口隔离和VLAN的区别
对于大型网络,我们常常对于ip的规划比较烦恼,也有很多朋友问到,对于1000个以上的终端设备如何去设置它的ip地址呢? 对于大型网络,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好 ...
隔离技术之MUX VLAN
MUX VLAN multiplex vlan(MUX VLAN) 和端口隔离有些不同,端口隔离是针对同一个vlan,同一个网段 MUX VLAN可以解决相同网段,不同vlan之间的隔离,也可以解决相 ...
计算机网络思科模拟器进行交换机端口隔离，跨交换机实现vlan实验
1 交换机端口的隔离 1.1实验内容对交换机进行简单的配置.建立实验的拓扑图,并在交换机上进行基于端口的VLAN划分.然后通过命令检查VLAN的划分情况并测试同一个VLAN和不同VLAN之间主机的连 ...
如何使同vlan中ip禁止访问？端口隔离与vlan有何不同？
在同一个vlan中如何实现端口相互隔离呢?这个在交换机组网项目中也是经常会用到. 对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了, ...
网络安全技术之端口隔离
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术.通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层.三 ...

VLAN内端口隔离技术