关于端口:端口隔离和VLAN的区别

对于大型网络，咱们经常对于ip的布局比拟懊恼，也有很多敌人问到，对于1000个以上的终端设备如何去设置它的ip地址呢？

对于大型网络，它的ip布局咱们经常的做法是划分vlan，因为划分vlan有诸多益处，方便管理以及晋升了整个网络的安全性。当然除了划分vlan有其它的办法吗？答案是必定，那就是端口隔离。这两种办法在ip布局中应用的最多，咱们本期来具体理解vlan的划分与端口隔离。

一、划分vlan

在面对ip地址较多的时候，咱们罕用的办法就是划分vlan，VLAN的作用是隔离播送，同一个VLAN在一个播送域，端口隔离就是将同一个VLAN不同接口再进行隔离。应用三层交换机划分vlan，能够使vlan之间互相通信。

举例

某公司有1000台电脑，公司有若干个部门，部门之间有互相往来，如何来布局ip地址？

剖析：1000台电脑能够设置成6个网段，当然也能够设置5个网段，设置6个网段不便当前扩展性。那咱们ip地址能够如下：

Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24

VLAN的次要长处有：

1、限度播送域。播送域被限度在一个VLAN内，进步了网络解决能力。

2、加强局域网的安全性。VLAN的劣势在于VLAN外部的播送和单播流量不会被转发到其它VLAN中，从而有助于管制网络流量、缩小设施投资、简化网络管理、进步网络安全性。

3、灵便构建虚构工作组。用VLAN能够划分不同的用户到不同的工作组，同一工作组的用户也不用局限于某一固定的物理范畴，网络构建和保护更不便灵便。

二、端口隔离

咱们下面提到了，对于网型网络来说，vlan是一种不错的解决办法，那除了vlan还能够应用端口隔离了。

用户能够将不同的端口退出不同的VLAN，但这样会节约无限的VLAN资源。采纳端口隔离性能，能够实现同一VLAN内端口之间的隔离。用户只须要将端口退出到隔离组中，就能够实现隔离组内端口之间二层数据的隔离。

端口隔离个别用于内网中，端口隔离的端口之间无奈互相通信，所以端口隔离性能为用户提供了更平安的计划。

举例：

端口隔离的办法和利用场景如下图所示。PC1、PC2和PC3同属于VLAN10

要求：实现pc2与pc3 不能相互拜访，pc1与 pc2之间能够相互拜访 pc1与pc3之间能够相互拜访。

Pc 1 10.10.10.1 255.255.255.0 连贯交换机 GE1/0/1端口
Pc 2 10.10.10.2 255.255.255.0 连贯交换机 GE1/0/2端口
Pc 3 10.10.10.3 255.255.255.0 连贯交换机 GE1/0/3端口
网关为：10.10.10.4

配置步骤：

<Huawei>system-view #进入零碎视图

[Huawei]vlan 10 #创立vlan 10

[Huawei-vlan10]int vlan 10 #进入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #设置vlan 10 ip 与掩码

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access #设置端口模式为access 模式，access端口只能属于一个vlan；

[Huawei-GigabitEthernet1/0/3]quit #退出

[Huawei]int GigabitEthernet 1/0/2 #进入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access #设置端口模式为access 模式

[Huawei-GigabitEthernet1/0/2]quit #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔离端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔离端口 2

[Huawei-GigabitEthernet1/0/3]quit

这种实现了端口与端口3之间不能相互通信。

作为交换机无效的访问控制安全控制机制之一：端口隔离，其平安、灵便的个性在理论组网中利用宽泛，它能够将指定的端口能够退出到特定的端口隔离组中，同一端口隔离组的端口之间相互隔离，不同端口隔离组的端口之间不隔离。

是不是感觉似曾相识，感觉跟划分VLAN差不多，其实不然，尽管VLAN和端口隔离都是把一部分设施独立在一个空间内，有防护性能，但VLAN个别用来隔离播送的，譬如一栋大楼，每层一个VLAN，隔离出播送域，而端口隔离则不同，个别同一个VLAN的用户都是同一网段的，所以是能够ping通拜访的，实现共享材料的，然而做了端口隔离后，即便在同一网段，也禁止相互拜访，平安指数更高！

简言之就是：VLAN的作用是隔离播送，同一个VLAN在一个播送域，端口隔离就是将同一个VLAN不同接口再进行隔离。

三、总结

1、端口隔离的端口之间无奈互相通信，但能够与上联口通信；VLAN是同VLAN ID的端口能够任意通信，不同VLAN之间不能间接通信。

2、端口隔离的各个端口依然处于同一IP段；VLAN则必须每个VLAN对应一个独立的IP段。

3、端口隔离仅限于单台交换机，即无法控制通过上联口互联的两台交换机之间的隔离端口的通信；VLAN能够逾越多台交换机，只有VLAN ID不同，就无奈间接通信。

4、上联口无奈辨别端口隔离的数据来自哪个端口，然而能够辨别VLAN的数据归属于哪个VLAN。