埠隔離
實現報文之間二層隔離的埠
埠隔離是為了實現報文之間的二層隔離,可以將不同的埠加入不同的VLAN,但會浪費有限的VLAN資源。採用埠隔離特性,可以實現同一VLAN內埠之間的隔離。用戶只需要將埠加入到隔離組中,就可以實現隔離組內埠之間二層數據的隔離。埠隔離功能為用戶提供了更安全、更靈活的組網方案。
設備支持隔離組(簡稱單隔離組),系統創建隔離組,戶刪除該隔離組創建隔離組。設備支持隔離組(簡稱隔離組),戶配置。設備支持隔離組,請設備際況准。
隔離組端量限制。
端隔離端屬。屬端,隔離組普端端二層單,況端二層據互隔離。屬端,隔離組、端二層據互況,:
1.支持上行埠的設備。
2.不支持上行埠的設備,隔離組內的埠和隔離組外埠二層流量雙向互通。
埠隔離技術在H3C交換機上的實現
system-view 進入系統視圖
interface interface-type interface-number 進入乙太網埠視圖
port isolate 將乙太網埠加入到隔離組中
埠隔離技術在H3C交換機上實現很強,使用也方便,上述的三條命令就可以實現相應埠之間隔離。
埠隔離技術在D-LINK交換機上的實現
config traffic_segmentation [] forward_list [null |]
其中表示指定哪個埠作為隔離埠,參數null表示沒有上連埠,參數表示上連埠。
埠隔離技術在港灣交換機上的實現
config vcn up [notagout|tagout] baseVID <1-4069>
其中表示指定哪個埠作為上行通信埠,可以指定一個或兩個上行埠;參數notagout 表示上連埠以untag方式屬於vcn所創建的所有vlan,參數tagout表示上連埠以tag方式屬於baseVID後面所跟的vlanID。
埠隔離技術在CISCO交換機上的實現
config terminal 進入系統視圖
interface interface-type interface-number 進入乙太網埠視圖
switchport protected 將乙太網埠加入到隔離組中
CISCO的埠隔離技術實際是埠保護,起了switchport protected的埠將不會受單播、廣播和組播的影響。
埠隔離技術也有缺點,一是計算機之間共享不能實現;二是隔離只能在一台交換機上實現,不能在堆疊交換機之間實現,如果是堆疊環境,只能改成交換機之間級連。
