端口隔離技術新應用

端口隔離技術新應用

摘  要  端口隔離技術在ISP寬帶接入中已發揮重要作用，而在園區網中應用還不多，由于網絡中病毒增多、危害加大，端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況，端口隔離技術在不同廠商、不同層次交換機上不同的實現，具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。    關鍵詞  端口隔離；交換機 
1  引言    在小區寬帶接入環境中，個別計算機中毒發包、廣播對其它接入計算機都有影響，也會占用帶寬，所以ISP在其接入交換機上早就實施了端口隔離技術，隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用，應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離，會對一些應用帶來不便，所以應用并不是很多。但是隨著網絡中病毒增多、危害加大，新的難以對付、傳播速度又快病毒出現的情況下，端口隔離技術在園區網中應用會越來越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。2  端口隔離技術綜述    端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，尤其對頭痛的ARP病毒效果明顯。3  端口隔離技術的實現3.1  端口隔離技術在H3C交換機上的實現    system-view     進入系統視圖    interface interface-type interface-number    進入以太網端口視圖    port isolate     將以太網端口加入到隔離組中    端口隔離技術在H3C交換機上實現很強，使用也方便，上述的三條命令就可以實現相應端口之間隔離。3.2  端口隔離技術在D-LINK交換機上的實現    config traffic_segmentation [<portlist>] forward_list [null |<portlist>]其中<portlist>表示指定哪個端口作為隔離端口，參數null表示沒有上連端口，參數<portlist>表示上連端口。3.3  端口隔離技術在港灣交換機上的實現    config vcn up <portlist> [notagout|tagout] baseVID <1-4069>其中<portlist>表示指定哪個端口作為上行通信端口，可以指定一個或兩個上行端口；參數notagout 表示上連端口以untag方式屬于vcn所創建的所有vlan，參數tagout表示上連端口以tag方式屬于baseVID后面所跟的vlanID。3.4  端口隔離技術在CISCO交換機上的實現    config terminal     進入系統視圖    interface interface-type interface-number     進入以太網端口視圖    switchport protected     將以太網端口加入到隔離組中    CISCO的端口隔離技術實際是端口保護，起了switchport protected的端口將不會受單播、廣播和組播的影響。4  端口隔離技術的應用4.1  端口隔離技術在企業網中的應用

 

圖1

    圖1是典型的小企業的網絡結構，外連通過防火墻連接Inernet，內部通過交換機連接服務器、PC機，圖中采用H3C交換機，由于病毒等原因公司決定在PC之間采用端口隔離技術，而訪問服務器和Inernet要照常。在H3C交換機上連接PC的端口采用端口隔離，配置如下：    system-view     進入系統視圖    interface Ethernet 1/0/1     PC-A連接的端口    port isolate     interface Ethernet 1/0/2     PC-B連接的端口    port isolate    interface Ethernet 1/0/3     PC-C連接的端口    port isolate    交換機上服務器和防火墻連接的端口不變。4.2  端口隔離技術在校園網中的應用圖 2    圖2是典型的校園網機房的網絡結構，上連核心交換機，二層交換機PC機和教師機，圖中采用D-LINK交換機，機房內PC不用相互訪問，只需同教師機和通過核心交換機訪問校內外資源，配置如下：    config traffic_segmentation 1，24 forward_ list 1-24    config traffic_segmentation 2-23 forward_list 1，24    D-LINK交換機上1號端口連接教師機，24號端口連接核心交換機，2號端口到23號端口連接PC機。5  結束語    端口隔離技術也有缺點，一是計算機之間共享不能實現；二是隔離只能在一臺交換機上實現，不能在堆疊交換機之間實現，如果是堆疊環境，只能改成交換機之間級連。希望廠家能繼續開發和增強端口隔離技術，使它能在更多環境下應用。參考文獻：[1] xtzj. 系統之家. 在交換機上配置DHCP中繼代理. www.xtzj.com/simple/index.php?t207428.html[2] 共享聯盟. 關于端口隔離技術的實現問題. http：//211.99.128.10：8080/thread-41645-1-1.html[3] 端口隔離配置. Quidway E352&E328以太網交換機 操作手冊-Release 1510.華為技術有限公司. 深圳市龍崗區坂田華為總部辦公樓[4] IT樵客. http：//www.itlogger.com/index.php?paged=40[5] ciscohuawei. 中國成都思科華為網絡技術認證. cisco交換機的端口隔離命令. http：//www.ciscohuawei.com/ viewthread.php?tid =19099

【端口隔離技術新應用】相關文章：

生物制藥新技術新應用06-16

人臉信息技術應用新熱點淺析03-05

肺隔離技術進展03-08

隔離器件在工業現場的應用03-18

多端口存儲器在多機系統中的應用03-20

關于新媒體信息傳播技術在圖書館的應用與發展03-06

EDA技術及其應用03-19

CAD應用軟件的新動態03-18

談ADSL技術及其應用12-04