參考:端口隔離+local arp proxy
http://wenku.baidu.com/view/baf0fb68a45177232f60a2d8.html
優勢
優勢一:全端口隔離廣播端口隔離功能可以使所有端口處於相同或不同的端口隔離組,同
一組內不可相互轉發報文,有效的隔離了病毒,攻擊以及一切在網絡中的噪音流量
優勢二:可信任網關
Local Arp Proxy給網絡帶來更安全更可靠的網關地址,不管網絡中主機流量目的地址,網關的MAC地址永遠是本地交換機,從而保證流量的安全與正確性。
優勢三:一步配置
僅需在接入層配置端口隔離組,在匯聚層交換機配置Local ARP Proxy功能啟用即可。全網全時段的安全
優勢四:性能無損便於監控
功能依靠ASIC硬件實現,不需人為干預,全硬件轉發,更可在ARP網關處采集分析,保證網絡安全的同時,更提供了集中流量采集分析的監控途徑
1、端口隔離簡介
通過PORT-ISOLATE端口隔離特性,可以實現不同用戶的端口屬於同一個
VLAN,但是不同用戶之間不能二層互通。從而增強了網絡的安全性,提供了靈活的組網方
案,同時節省了大量的VLAN資源。
2.在整個網絡中划分多個VLAN,把各個子網隔離開來,但是這樣做的話在辦公局域網中是行不通的,因為在整個辦公的局域網中每台客戶機都 要互相訪問,共享文件等等..所以此方法只適合於客戶機都彼此不用共享而獨立的網絡系統中,像我公司使用的華為2403H-EI的2層交換機就可以做到端 口隔離,如需要隔離的時候就在默認的VLAN1中port-isolate enable然后定義25口為上聯口int eth0/25 port-iso uplink-port vlan 1就OK了(但我公司的網絡是不能這樣做的,所有電腦都是共享的)
3.配置案例
1. PC1的IP地址為10.1.1.1/24,PC2的IP地址為10.1.1.2/24,服務器的IP地址為10.1.1.253/24
2. PC1連接到交換機的端口0/1,PC2連接到端口0/2,服務器連接到端口G1/1,且各端口都屬於VLAN10
『組網需求』
1. 同一VLAN內的PC之間不能互相訪問
2. 同一VLAN內的PC都可以通過上行口G1/1,訪問服務器
2數據配置步驟
『VLAN內端口隔離配置流程』
利用VLAN配置視圖中,port-isolate命令來隔離VLAN內的端口。
【SwitchA相關配置】
1. 創建(進入)VLAN10
[SwitchA]vlan 10
2. 將E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 配置VLAN10內的端口隔離
[SwitchA-vlan10]port-isolate enable
4. 將連接服務器的端口配置為隔離端口的上行端口
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port-isolate uplink-port vlan 10
【補充說明】
VLAN內端口隔離功能是用於隔離同一VLAN內,相同IP網段的用戶。
上述組網中,可以將服務器更換為其他三層網絡設備,做為用戶的網關負責用戶的三層業務轉發。
注意!一個VLAN只能存在一個uplink端口。
!!!比較最重要的是,服務器可以使用簡單的SOHO路由器代替,而不一定非要支持802.1q的設備