端口隔离技术新应用
来源:岁月联盟
时间:2010-08-30
1 引言
在小区宽带接入环境中,个别机中毒发包、广播对其它接入计算机都有影响,也会占用带宽,所以ISP在其接入交换机上早就实施了端口隔离技术,隔离技术对网络静化、安全和病毒隔离都有相当良好的作用,应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离,会对一些应用带来不便,所以应用并不是很多。但是随着网络中病毒增多、危害加大,新的难以对付、传播速度又快病毒出现的情况下,端口隔离技术在园区网中应用会越来越多,下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。2 端口隔离技术综述
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果明显。3 端口隔离技术的实现
3.1 端口隔离技术在H3C交换机上的实现
system-view 进入系统视图 interface interface-type interface-number 进入以太网端口视图 port isolate 将以太网端口加入到隔离组中 端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。3.2 端口隔离技术在D-LINK交换机上的实现
config traffic_segmentation [<portlist>] forward_list [null |<portlist>]其中<portlist>表示指定哪个端口作为隔离端口,参数null表示没有上连端口,参数<portlist>表示上连端口。3.3 端口隔离技术在港湾交换机上的实现
config vcn up <portlist> [notagout|tagout] baseVID <1-4069>其中<portlist>表示指定哪个端口作为上行通信端口,可以指定一个或两个上行端口;参数notagout 表示上连端口以untag方式属于vcn所创建的所有vlan,参数tagout表示上连端口以tag方式属于baseVID后面所跟的vlanID。3.4 端口隔离技术在CISCO交换机上的实现
config terminal 进入系统视图 interface interface-type interface-number 进入以太网端口视图 switchport protected 将以太网端口加入到隔离组中 CISCO的端口隔离技术实际是端口保护,起了switchport protected的端口将不会受单播、广播和组播的影响。4 端口隔离技术的应用
4.1 端口隔离技术在网中的应用
图1
图1是典型的小企业的结构,外连通过防火墙连接Inernet,内部通过交换机连接服务器、PC机,图中采用H3C交换机,由于病毒等原因公司决定在PC之间采用端口隔离技术,而访问服务器和Inernet要照常。在H3C交换机上连接PC的端口采用端口隔离,配置如下: system-view 进入系统视图 interface Ethernet 1/0/1 PC-A连接的端口 port isolate interface Ethernet 1/0/2 PC-B连接的端口 port isolate interface Ethernet 1/0/3 PC-C连接的端口 port isolate 交换机上服务器和防火墙连接的端口不变。4.2 端口隔离技术在校园网中的应用
图 2 图2是典型的校园网机房的网络结构,上连核心交换机,二层交换机PC机和教师机,图中采用D-LINK交换机,机房内PC不用相互访问,只需同教师机和通过核心交换机访问校内外资源,配置如下: config traffic_segmentation 1,24 forward_ list 1-24 config traffic_segmentation 2-23 forward_list 1,24 D-LINK交换机上1号端口连接教师机,24号端口连接核心交换机,2号端口到23号端口连接PC机。