参考:端口隔离+local arp proxy
http://wenku.baidu.com/view/baf0fb68a45177232f60a2d8.html
优势
优势一:全端口隔离广播端口隔离功能可以使所有端口处于相同或不同的端口隔离组,同
一组内不可相互转发报文,有效的隔离了病毒,攻击以及一切在网络中的噪音流量
优势二:可信任网关
Local Arp Proxy给网络带来更安全更可靠的网关地址,不管网络中主机流量目的地址,网关的MAC地址永远是本地交换机,从而保证流量的安全与正确性。
优势三:一步配置
仅需在接入层配置端口隔离组,在汇聚层交换机配置Local ARP Proxy功能启用即可。全网全时段的安全
优势四:性能无损便于监控
功能依靠ASIC硬件实现,不需人为干预,全硬件转发,更可在ARP网关处采集分析,保证网络安全的同时,更提供了集中流量采集分析的监控途径
1、端口隔离简介
通过PORT-ISOLATE端口隔离特性,可以实现不同用户的端口属于同一个
VLAN,但是不同用户之间不能二层互通。从而增强了网络的安全性,提供了灵活的组网方
案,同时节省了大量的VLAN资源。
2.在整个网络中划分多个VLAN,把各个子网隔离开来,但是这样做的话在办公局域网中是行不通的,因为在整个办公的局域网中每台客户机都 要互相访问,共享文件等等..所以此方法只适合于客户机都彼此不用共享而独立的网络系统中,像我公司使用的华为2403H-EI的2层交换机就可以做到端 口隔离,如需要隔离的时候就在默认的VLAN1中port-isolate enable然后定义25口为上联口int eth0/25 port-iso uplink-port vlan 1就OK了(但我公司的网络是不能这样做的,所有电脑都是共享的)
3.配置案例
1. PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,服务器的IP地址为10.1.1.253/24
2. PC1连接到交换机的端口0/1,PC2连接到端口0/2,服务器连接到端口G1/1,且各端口都属于VLAN10
『组网需求』
1. 同一VLAN内的PC之间不能互相访问
2. 同一VLAN内的PC都可以通过上行口G1/1,访问服务器
2数据配置步骤
『VLAN内端口隔离配置流程』
利用VLAN配置视图中,port-isolate命令来隔离VLAN内的端口。
【SwitchA相关配置】
1. 创建(进入)VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 配置VLAN10内的端口隔离
[SwitchA-vlan10]port-isolate enable
4. 将连接服务器的端口配置为隔离端口的上行端口
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port-isolate uplink-port vlan 10
【补充说明】
VLAN内端口隔离功能是用于隔离同一VLAN内,相同IP网段的用户。
上述组网中,可以将服务器更换为其他三层网络设备,做为用户的网关负责用户的三层业务转发。
注意!一个VLAN只能存在一个uplink端口。
!!!比较最重要的是,服务器可以使用简单的SOHO路由器代替,而不一定非要支持802.1q的设备