問(wèn)題描述

 

端口隔離的應(yīng)用場(chǎng)景是什么？

 

解決方案

 

為了實(shí)現(xiàn)報(bào)文之間的二層隔離，用戶(hù)可以將不同的端口加入不同的VLAN，但這樣會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離功能，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶(hù)只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶(hù)提供了更安全、更靈活的組網(wǎng)方案。
端口隔離的方法和應(yīng)用場(chǎng)景如圖1-2所示。PC1、PC2和PC3同屬于VLAN10，將PC1與PC2對(duì)應(yīng)的端口GE1/0/1和GE1/0/2加入端口隔離組后，PC1與PC2在VLAN10內(nèi)不能互相訪問(wèn)，但是PC3與PC1之間可以互相訪問(wèn)，PC3與PC2之間也可以互相訪問(wèn)。

現(xiàn)網(wǎng)中可能存在如下情況時(shí)，還可以配置端口單向隔離功能。接入同一個(gè)設(shè)備不同接口的多臺(tái)主機(jī)，若某臺(tái)主機(jī)存在安全隱患，可能會(huì)向其他主機(jī)發(fā)送大量的廣播報(bào)文。用戶(hù)可以通過(guò)配置接口間的單向隔離來(lái)實(shí)現(xiàn)其他主機(jī)對(duì)該主機(jī)報(bào)文的隔離。
如圖1-3所示，假設(shè)PC4存在安全隱患，會(huì)向其他主機(jī)發(fā)送大量廣播報(bào)文，可以?xún)H在PC4對(duì)應(yīng)設(shè)備接口GE1/0/4上配置與GE1/0/5、GE1/0/6進(jìn)行單向隔離，這樣PC4發(fā)送的廣播報(bào)文不能到達(dá)PC5、PC6，但從PC5、PC6發(fā)送的廣播報(bào)文可以到達(dá)PC4。