交換機端口隔離技術應用

實際案例分析
        某公司，因爲業務要求，爲了保障服務器高可用性，對服務器實現了NLB羣集技術。萬事有利就有弊，因爲NLB羣集在實際環境中通常採用多播技術，交換機同一出口下的節點均爲收到大量廣播，一些網絡延時要求較小（如作網絡電話、短信羣發業務）的用戶網絡性能將會受到很大影響。面對這種狀況咱們首先想到的是子網劃分或者是劃爲VLAN，劃分子網後問題依然存在，這個時候通常只能考慮劃分VLAN，可是因爲IDC服務器節點上聯設備幾乎沒有劃分VLAN的，由於服務器的上聯交換機通常是用戶本身的，而 IDC中的交換機也劃有VLAN，服務器的上聯交換機配置VLAN時須要配置Trunk，不然沒法與上聯設備進行通信，因爲機房網絡拓撲環境用戶本身不熟悉，因此沒辦法劃分VLAN。難道這種狀況就沒辦法解決了嗎？答案是有的，那就是端口隔離技術.
端口隔離技術概述
      端口隔離技術是一種實如今客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另一個客戶端的流量的技術。經過端口隔離技術，用戶能夠將須要進行控制的端口加入到一個隔離組中，經過端口隔離特性，用戶能夠將須要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層數據的隔離，使用隔離技術後隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，增長了網絡安全性，提升了網絡性能
實際環境應用
     好，下面咱們來看一個端口隔離實際應用（以H3C S2126-ei交換機爲例）
病因：某用戶常常對外發送大量廣播，形成網絡性能嚴重降低
處方：端口隔離技術
三臺服務器分爲3個實際用戶，分別鏈接交換機的
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]interface Ethernet 1/0/1
[H3C-Ethernet1/0/1]port isolate //設置本端口爲隔離端口
[H3C-Ethernet1/0/1]quit
[H3C] interface Ethernet 1/0/2
[H3C-Ethernet1/0/2]port isolate //設置本端口爲隔離端口
[H3C-Ethernet1/0/2]quit
[H3C] interface Ethernet 1/0/3
[H3C-Ethernet1/0/3]port isolate //設置本端口爲隔離端口
[H3C-Ethernet1/0/3]quit
[H3C]save    //保存配置
[H3C]display isolate port //查詢端口隔離組中的端口
[H3C-Ethernet1/0/X]undo port isolate //刪除某端口下的隔離端口
注：端口隔離不一樣於VLAN
其它廠商品牌交換機端口隔離技術應用
華爲
[Quidway]interface Ethernet1/0/1
[Quidway-Ethernet1/0/1] port-isolate enable //開啓本端口隔離功能
思科
Switch(config)# interface 端口號
Switch(config-if)# switchitchport protected //開啓端口保護功能
注：思科個別型號交換機採用PVLAN來實現端口保護功能
D-link
config traffic_segmentation [<portlist>] forward_list [null |<portlist>]
注：<portlist>表示指定哪一個端口做爲隔離端口，參數null表示沒有上連端口，參數<portlist>表示上連端口