解決方案
為了實現報文之間的二層隔離,用戶可以將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離功能,可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。
端口隔離的方法和應用場景如圖1-7所示。PC1、PC2和PC3同屬於VLAN10,將PC1與PC2對應的端口GE1/0/1和GE1/0/2加入端口隔離組后,PC1與PC2在VLAN10內不能互相訪問,但是PC3與PC1之間可以互相訪問,PC3與PC2之間也可以互相訪問。
圖1-7 端口隔離示例組網圖
現網中可能存在如下情況時,還可以配置端口單向隔離功能。接入同一個設備不同接口的多台主機,若某台主機存在安全隱患,可能會向其他主機發送大量的廣播報文。用戶可以通過配置接口間的單向隔離來實現其他主機對該主機報文的隔離。
如圖1-8所示,假設PC4存在安全隱患,會向其他主機發送大量廣播報文,可以僅在PC4對應設備接口GE1/0/4上配置與GE1/0/5、GE1/0/6進行單向隔離,這樣PC4發送的廣播報文不能到達PC5、PC6,但從PC5、PC6發送的廣播報文可以到達PC4。
圖1-8 端口隔離示例組網圖
端口隔離配置教程
端口隔離可實現同一VLAN內端口之間的隔離,為用戶提供了更安全、更靈活的組網方案。
為了實現報文之間的二層隔離,用戶可以將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離功能,可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。
端口隔離的方法和應用場景如下圖1所示。
PC1、PC2和PC3同屬於VLAN10,將PC1與PC2對應的端口GE1/0/1和GE1/0/2加入端口隔離組后,PC1與PC2在VLAN10內不能互相訪問,但是PC3與PC1之間可以互相訪問,PC3與PC2之間也可以互相訪問。
現網中可能存在如下情況時,還可以配置端口單向隔離功能。接入同一個設備不同接口的多台主機,若某台主機存在安全隱患,可能會向其他主機發送大量的廣播報文。用戶可以通過配置接口間的單向隔離來實現其他主機對該主機報文的隔離。
如下圖2所示,
圖2 端口隔離示例組網圖
假設PC4存在安全隱患,會向其他主機發送大量廣播報文,可以僅在PC4對應設備接口GE1/0/4上配置與GE1/0/5、GE1/0/6進行單向隔離,這樣PC4發送的廣播報文不能到達PC5、PC6,但從PC5、PC6發送的廣播報文可以到達PC4。
具體配置
1、配置全局端口隔離模式
[Huawei]port-isolate mode ?
all All
l2 L2 only
2、配置當前端口與指定端口隔離
[Huawei-Ethernet0/0/20]am isolate Ethernet 0/0/1 to Ethernet 0/0/3
二、端口隔離組配置步驟
1、配置全局端口隔離模式
[Huawei]port-isolate mode {L2|all }
2、使能端口隔離並創建端口隔離組
[Huawei-Ethernet0/0/22]port-isolate enable group 1
[Huawei-Ethernet0/0/20]port-isolate enable group 1
端口隔離只是針對同一設備上的端口隔離組成員,對於不同設備上的接口而言,無法實現該功能。
同一端口隔離組的接口之間互相隔離,不同端口隔離組的接口之間不隔離。如果不指定group-id參數時,默認加入的端口隔離組為1。
在接口A上配置與接口B之間單向隔離后,接口A發送的報文不能到達接口B,但從接口B發送的報文可以到達接口A。
同一端口隔離組的接口之間互相隔離,不同端口隔離組的接口之間不隔離。為了實現不同端口隔離組的接口之間的隔離,可以通過配置接口之間的單向隔離來實現。
當您為了減少維護量和降低操作的復雜度,可以在系統視圖下執行clear configuration port-isolate命令一鍵式清除設備上所有的端口隔離配置。
注意端口隔離與mux vlan 的區別