端口隔離和VLAN的區別

對於大型網絡，咱們經常對於ip的規劃比較煩惱，也有不少朋友問到，對於1000個以上的終端設備如何去設置它的ip地址呢？

對於大型網絡，它的ip規劃咱們經常的作法是劃分vlan，由於劃分vlan有諸多好處，方便管理以及提高了整個網絡的安全性。固然除了劃分vlan有其它的方法嗎？答案是確定，那就是端口隔離。這兩種方法在ip規劃中使用的最多，咱們本期來詳細瞭解vlan的劃分與端口隔離。

1、劃分vlan

在面對ip地址較多的時候，咱們經常使用的方法就是劃分vlan，VLAN的做用是隔離廣播，同一個VLAN在一個廣播域，端口隔離就是將同一個VLAN不一樣接口再進行隔離。使用三層交換機劃分vlan，可使vlan之間相互通訊。

舉例

某公司有1000臺電腦，公司有若干個部門，部門之間有相互往來，如何來規劃ip地址？

分析：1000臺電腦能夠設置成6個網段，固然也能夠設置5個網段，設置6個網段方便之後擴展性。那咱們ip地址能夠以下：

Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24

VLAN的主要優勢有：

一、限制廣播域。廣播域被限制在一個VLAN內，提升了網絡處理能力。

二、加強局域網的安全性。VLAN的優點在於VLAN內部的廣播和單播流量不會被轉發到其它VLAN中，從而有助於控制網絡流量、減小設備投資、簡化網絡管理、提升網絡安全性。

三、靈活構建虛擬工做組。用VLAN能夠劃分不一樣的用戶到不一樣的工做組，同一工做組的用戶也沒必要侷限於某一固定的物理範圍，網絡構建和維護更方便靈活。

2、端口隔離

咱們上面提到了，對於網型網絡來講，vlan是一種不錯的解決辦法，那除了vlan還可使用端口隔離了。

用戶能夠將不一樣的端口加入不一樣的VLAN，但這樣會浪費有限的VLAN資源。採用端口隔離功能，能夠實現同一VLAN內端口之間的隔離。用戶只須要將端口加入到隔離組中，就能夠實現隔離組內端口之間二層數據的隔離。

端口隔離通常用於內網中，端口隔離的端口之間沒法相互通訊，因此端口隔離功能爲用戶提供了更安全的方案。

舉例：

端口隔離的方法和應用場景以下圖所示。PC一、PC2和PC3同屬於VLAN10

要求：實現pc2與pc3 不能互相訪問，pc1與 pc2之間能夠互相訪問 pc1與pc3之間能夠互相訪問。

Pc 1 10.10.10.1 255.255.255.0 鏈接交換機 GE1/0/1端口
Pc 2 10.10.10.2 255.255.255.0 鏈接交換機 GE1/0/2端口
Pc 3 10.10.10.3 255.255.255.0 鏈接交換機 GE1/0/3端口
網關爲：10.10.10.4

配置步驟：

<Huawei> system-view #進入系統視圖

[Huawei]vlan 10 #建立vlan 10

[Huawei-vlan10]int vlan 10 #進入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #設置vlan 10 ip 與掩碼

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #進入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access #設置端口模式爲access 模式，access端口只能屬於一個vlan；

[Huawei-GigabitEthernet1/0/3]quit #退出

[Huawei]int GigabitEthernet 1/0/2 #進入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access #設置端口模式爲access 模式

[Huawei-GigabitEthernet1/0/2]quit #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔離端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #進入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔離端口 2

[Huawei-GigabitEthernet1/0/3]quit

這種實現了端口與端口3之間不能互相通訊。

做爲交換機有效的訪問控制安全控制機制之一：端口隔離，其安全、靈活的特性在實際組網中應用普遍，它能夠將指定的端口能夠加入到特定的端口隔離組中，同一端口隔離組的端口之間互相隔離，不一樣端口隔離組的端口之間不隔離。

是否是感受似曾相識，感受跟劃分VLAN差很少，其實否則，雖然VLAN和端口隔離都是把一部分設備獨立在一個空間內，有防禦功能，但VLAN通常用來隔離廣播的，譬如一棟大樓，每層一個VLAN，隔離出廣播域，而端口隔離則不一樣，通常同一個VLAN的用戶都是同一網段的，因此是能夠ping通訪問的，實現共享資料的，可是作了端口隔離後，即便在同一網段，也禁止互相訪問，安全指數更高！

簡言之就是：VLAN的做用是隔離廣播，同一個VLAN在一個廣播域，端口隔離就是將同一個VLAN不一樣接口再進行隔離。

3、總結

一、端口隔離的端口之間沒法相互通訊，但能夠與上聯口通訊；VLAN是同VLAN ID的端口能夠任意通訊，不一樣VLAN之間不能直接通訊。

二、端口隔離的各個端口仍然處於同一IP段；VLAN則必須每一個VLAN對應一個獨立的IP段。

三、端口隔離僅限於單臺交換機，即沒法控制經過上聯口互聯的兩臺交換機之間的隔離端口的通訊；VLAN能夠跨越多臺交換機，只要VLAN ID不一樣，就沒法直接通訊。

四、上聯口沒法區分端口隔離的數據來自哪一個端口，可是能夠區分VLAN的數據歸屬於哪一個VLAN。