端口隔离的应用场景与配置
解决方案
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离的方法和应用场景如图1-7所示。PC1、PC2和PC3同属于VLAN10,将PC1与PC2对应的端口GE1/0/1和GE1/0/2加入端口隔离组后,PC1与PC2在VLAN10内不能互相访问,但是PC3与PC1之间可以互相访问,PC3与PC2之间也可以互相访问。
图1-7 端口隔离示例组网图
现网中可能存在如下情况时,还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,可能会向其他主机发送大量的广播报文。用户可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
如图1-8所示,假设PC4存在安全隐患,会向其他主机发送大量广播报文,可以仅在PC4对应设备接口GE1/0/4上配置与GE1/0/5、GE1/0/6进行单向隔离,这样PC4发送的广播报文不能到达PC5、PC6,但从PC5、PC6发送的广播报文可以到达PC4。
图1-8 端口隔离示例组网图
端口隔离配置教程
端口隔离可实现同一VLAN内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离的方法和应用场景如下图1所示。
PC1、PC2和PC3同属于VLAN10,将PC1与PC2对应的端口GE1/0/1和GE1/0/2加入端口隔离组后,PC1与PC2在VLAN10内不能互相访问,但是PC3与PC1之间可以互相访问,PC3与PC2之间也可以互相访问。
现网中可能存在如下情况时,还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,可能会向其他主机发送大量的广播报文。用户可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
如下图2所示,
图2 端口隔离示例组网图
假设PC4存在安全隐患,会向其他主机发送大量广播报文,可以仅在PC4对应设备接口GE1/0/4上配置与GE1/0/5、GE1/0/6进行单向隔离,这样PC4发送的广播报文不能到达PC5、PC6,但从PC5、PC6发送的广播报文可以到达PC4。
具体配置
1、配置全局端口隔离模式
[Huawei]port-isolate mode ?
all All
l2 L2 only
2、配置当前端口与指定端口隔离
[Huawei-Ethernet0/0/20]am isolate Ethernet 0/0/1 to Ethernet 0/0/3
二、端口隔离组配置步骤
1、配置全局端口隔离模式
[Huawei]port-isolate mode {L2|all }
2、使能端口隔离并创建端口隔离组
[Huawei-Ethernet0/0/22]port-isolate enable group 1
[Huawei-Ethernet0/0/20]port-isolate enable group 1
端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。如果不指定group-id参数时,默认加入的端口隔离组为1。
在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
当您为了减少维护量和降低操作的复杂度,可以在系统视图下执行clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。
注意端口隔离与mux vlan 的区别
更多博客文章,请访问我的独立博客:一日程博客:http://www.yiricheng.cn/