端口隔离技术新应用
王渊明分享
摘 要 端口隔离技术在ISP宽带接入中已发挥重要作用,而在园区网中应用还不多,由于网络中病毒增多、危害加大,端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况,端口隔离技术在不同厂商、不同层次交换机上不同的实现,具体分析和举例端口隔离技术在园区网中的规划、实施和应用。
关键词 端口隔离;交换机
1 引言
在小区宽带接入环境中,个别计算机中毒发包、广播对其它接入计算机都有影响,也会占用带宽,所以ISP在其接入交换机上早就实施了端口隔离技术,隔离技术对网络静化、安全和病毒隔离都有相当良好的作用,应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离,会对一些应用带来不便,所以应用并不是很多。但是随着网络中病毒增多、危害加大,新的难以对付、传播速度又快病毒出现的情况下,端口隔离技术在园区网中应用会越来越多,下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。
2 端口隔离技术综述
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果明显。
3 端口隔离技术的实现
3.1 端口隔离技术在H3C交换机上的实现
system-view 进入系统视图
interface interface-type interface-number 进入以太网端口视图
port isolate 将以太网端口加入到隔离组中
端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。
3.2 端口隔离技术在D-LINK交换机上的实现
config traffic_segmentation [<portlist>] forward_list [null |<portlist>]
其中<portlist>表示指定哪个端口作为隔离端口,参数null表示没有上连端口,参数<portlist>表示上连端口。
3.3 端口隔离技术在港湾交换机上的实现
config vcn up <portlist> [notagout|tagout] baseVID <1-4069>
其中<portlist>表示指定哪个端口作为上行通信端口,可以指定一个或两个上行端口;参数notagout 表示上连端口以untag方式属于vcn所创建的所有vlan,参数tagout表示上连端口以tag方式属于baseVID后面所跟的vlanID。
3.4 端口隔离技术在CISCO交换机上的实现
config terminal 进入系统视图
interface interface-type interface-number 进入以太网端口视图
switchport protected 将以太网端口加入到隔离组中
CISCO的端口隔离技术实际是端口保护,起了switchport protected的端口将不会受单播、广播和组播的影响。
4 端口隔离技术的应用
4.1 端口隔离技术在企业网中的应用
图1
图1是典型的小企业的网络结构,外连通过防火墙连接Inernet,内部通过交换机连接服务器、PC机,图中采用H3C交换机,由于病毒等原因公司决定在PC之间采用端口隔离技术,而访问服务器和Inernet要照常。在H3C交换机上连接PC的端口采用端口隔离,配置如下:
system-view 进入系统视图
interface Ethernet 1/0/1 PC-A连接的端口
port isolate
interface Ethernet 1/0/2 PC-B连接的端口
port isolate
interface Ethernet 1/0/3 PC-C连接的端口
port isolate
交换机上服务器和防火墙连接的端口不变。
4.2 端口隔离技术在校园网中的应用
图 2
图2是典型的校园网机房的网络结构,上连核心交换机,二层交换机PC机和教师机,图中采用D-LINK交换机,机房内PC不用相互访问,只需同教师机和通过核心交换机访问校内外资源,配置如下:
config traffic_segmentation 1,24 forward_ list 1-24
config traffic_segmentation 2-23 forward_list 1,24
D-LINK交换机上1号端口连接教师机,24号端口连接核心交换机,2号端口到23号端口连接PC机。
5 结束语
端口隔离技术也有缺点,一是计算机之间共享不能实现;二是隔离只能在一台交换机上实现,不能在堆叠交换机之间实现,如果是堆叠环境,只能改成交换机之间级连。希望厂家能继续开发和增强端口隔离技术,使它能在更多环境下应用。
参考文献:
[1] xtzj. 系统之家. 在交换机上配置DHCP中继代理. www.xtzj.com/simple/index.php?t207428.html
[2] 共享联盟. 关于端口隔离技术的实现问题. http://211.99.128.10:8080/thread-41645-1-1.html
[3] 端口隔离配置. Quidway E352&E328以太网交换机 操作手册-Release 1510.华为技术有限公司. 深圳市龙岗区坂田华为总部办公楼
[4] IT樵客. http://www.itlogger.com/index.php?paged=40
[5] ciscohuawei. 中国成都思科华为网络技术认证. cisco交换机的端口隔离命令. http://www.ciscohuawei.com/ viewthread.php?tid =19099