連線埠隔離是為了實現報文之間的二層隔離,可以將不同的連線埠加入不同的VLAN,但會浪費有限的VLAN資源。採用連線埠隔離特性,可以實現同一VLAN內連線埠之間的隔離。用戶只需要將連線埠加入到隔離組中,就可以實現隔離組內連線埠之間二層數據的隔離。連線埠隔離功能為用戶提供了更安全、更靈活的組網方案。
基本介紹
- 中文名:連線埠隔離
- 外文名:Port isolation
- 性質:隔離
- 屬性:連線埠
- 是為了實現:報文之間的二層隔離
含義,配置方法,缺點,
含義
目前有些設備只支持一個隔離組(以下簡稱單隔離組),由系統自動創建隔離組1,用戶不可刪除該隔離組或創建其它的隔離組。有些設備支持多個隔離組(以下簡稱多隔離組),用戶可以手工配置。不同設備支持的隔離組數不同,請以設備實際情況為準。
隔離組內可以加入的連線埠數量沒有限制。
連線埠隔離特性與連線埠所屬的VLAN無關。對於屬於不同VLAN的連線埠,只有同一個隔離組的普通連線埠到上行連線埠的二層報文可以單向通過,其它情況的連線埠二層數據是相互隔離的。對於屬於同一VLAN的連線埠,隔離組內、外連線埠的二層數據互通的情況,又可以分為以下兩種:
1.支持上行連線埠的設備。
2.不支持上行連線埠的設備,隔離組內的連線埠和隔離組外連線埠二層流量雙向互通。
配置方法
連線埠隔離技術在H3C交換機上的實現
system-view 進入系統視圖
interface interface-type interface-number 進入乙太網連線埠視圖
port isolate 將乙太網連線埠加入到隔離組中
連線埠隔離技術在H3C交換機上實現很強,使用也方便,上述的三條命令就可以實現相應連線埠之間隔離。
連線埠隔離技術在D-LINK交換機上的實現
config traffic_segmentation [<portlist>] forward_list [null |<portlist>]
其中<portlist>表示指定哪個連線埠作為隔離連線埠,參數null表示沒有上連連線埠,參數<portlist>表示上連連線埠。
連線埠隔離技術在港灣交換機上的實現
config vcn up <portlist> [notagout|tagout] baseVID <1-4069>
其中<portlist>表示指定哪個連線埠作為上行通信連線埠,可以指定一個或兩個上行連線埠;參數notagout 表示上連連線埠以untag方式屬於vcn所創建的所有vlan,參數tagout表示上連連線埠以tag方式屬於baseVID後面所跟的vlanID。
連線埠隔離技術在CISCO交換機上的實現
config terminal 進入系統視圖
interface interface-type interface-number 進入乙太網連線埠視圖
switchport protected 將乙太網連線埠加入到隔離組中
缺點
連線埠隔離技術也有缺點,一是計算機之間共享不能實現;二是隔離只能在一台交換機上實現,不能在堆疊交換機之間實現,如果是堆疊環境,只能改成交換機之間級連。