很多朋友經常留言問到,路由器的端口映射怎麼用?如何設定網址黑名單?什麼是mac位址綁定?如何解決ip沖突?如何設定靜态路由等等,這個在我們太閣的學習群中也經常讨論到。
對于大型網絡,它的ip規劃我們常常的做法是劃分vlan,因為劃分vlan有諸多好處,友善管理以及提升了整個網絡的安全性。
當然除了劃分vlan有其它的方法嗎?答案是肯定,那就是端口隔離。這兩種方法在ip規劃中使用的最多,我們本期來詳細了解vlan的劃分與端口隔離。
01 劃分vlan
在面對ip位址較多的時候,我們常用的方法就是劃分vlan,VLAN的作用是隔離廣播,同一個VLAN在一個廣播域,端口隔離就是将同一個VLAN不同接口再進行隔離。使用三層交換機劃分vlan,可以使vlan之間互相通信。
舉例:某公司有1000台電腦,公司有若幹個部門,部門之間有互相往來,如何來規劃ip位址?
分析:1000台電腦可以設定成6個網段,當然也可以設定5個網段,設定6個網段友善以後擴充性。那我們ip位址可以如下:
Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24
VLAN的主要優點有:
1、限制廣播域。廣播域被限制在一個VLAN内,提高了網絡處理能力。
2、增強區域網路的安全性。VLAN的優勢在于VLAN内部的廣播和單點傳播流量不會被轉發到其它VLAN中,進而有助于控制網絡流量、減少裝置投資、簡化網絡管理、提高網絡安全性。
3、靈活建構虛拟工作組。用VLAN可以劃分不同的使用者到不同的工作組,同一工作組的使用者也不必局限于某一固定的實體範圍,網絡建構和維護更友善靈活。
02 端口隔離
我們上面提到了,對于網型網絡來說,vlan是一種不錯的解決辦法,那除了vlan還可以使用端口隔離了。
使用者可以将不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離功能,可以實作同一VLAN内端口之間的隔離。使用者隻需要将端口加入到隔離組中,就可以實作隔離組内端口之間二層資料的隔離。
端口隔離一般用于内網中,端口隔離的端口之間無法互相通信,是以端口隔離功能為使用者提供了更安全的方案。
端口隔離的方法和應用場景如下圖所示。PC1、PC2和PC3同屬于VLAN10
要求:實作pc2與pc3 不能互相通路,pc1與 pc2之間可以互相通路 pc1與pc3之間可以互相通路。
Pc 1 10.10.10.1 255.255.255.0 連接配接交換機 GE1/0/1端口
Pc 2 10.10.10.2 255.255.255.0 連接配接交換機 GE1/0/2端口
Pc 3 10.10.10.3 255.255.255.0 連接配接交換機 GE1/0/3端口
網關為:10.10.10.4
配置步驟:
system-view #進入系統視圖
[Huawei]vlan 10 #建立vlan 10
[Huawei-vlan10]int vlan 10 #進入vlan 10
[Huawei-Vlanif10]ip address 192.168.1.1 /24 #設定vlan 10 ip 與掩碼
[Huawei-Vlanif10]quit #退出
[Huawei]int GigabitEthernet 1/0/3 #進入端口3
[Huawei-GigabitEthernet1/0/3]port link-type access #設定端口模式為access 模式,access端口隻能屬于一個vlan;
[Huawei]int GigabitEthernet 1/0/2 #進入端口2
[Huawei-GigabitEthernet1/0/2]port link-type access #設定端口模式為access 模式
[Huawei-GigabitEthernet1/0/2]quit #退出
[Huawei]int GigabitEthernet 1/0/2
[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3
[Huawei-GigabitEthernet1/0/2]quit
[Huawei]int GigabitEthernet 1/0/3 #進入端口3
[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔離端口 2
[Huawei-GigabitEthernet1/0/3]quit
這種實作了端口與端口3之間不能互相通信。
作為交換機有效的通路控制安全控制機制之一:端口隔離,其安全、靈活的特性在實際組網中應用廣泛,它可以将指定的端口可以加入到特定的端口隔離組中,同一端口隔離組的端口之間互相隔離,不同端口隔離組的端口之間不隔離。
是不是感覺似曾相識,感覺跟劃分VLAN差不多,其實不然,雖然VLAN和端口隔離都是把一部分裝置獨立在一個空間内,有防護功能,但VLAN一般用來隔離廣播的。
譬如一棟大樓,每層一個VLAN,隔離出廣播域,而端口隔離則不同,一般同一個VLAN的使用者都是同一網段的,是以是可以ping通通路的,實作共享資料的,但是做了端口隔離後,即使在同一網段,也禁止互相通路,安全指數更高!
簡言之就是:VLAN的作用是隔離廣播,同一個VLAN在一個廣播域,端口隔離就是将同一個VLAN不同接口再進行隔離。
03 總結篇
端口隔離的端口之間無法互相通信,但可以與上聯口通信;VLAN是同VLAN ID的端口可以任意通信,不同VLAN之間不能直接通信。