端口隔离和VLAN的区别

对于大型网络,我们常常对于ip的规划比较烦恼,也有很多朋友问到,对于1000个以上的终端设备如何去设置它的ip地址呢?

对于大型网络,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好处,方便管理以及提升了整个网络的安全性。当然除了划分vlan有其它的方法吗?答案是肯定,那就是端口隔离。这两种方法在ip规划中使用的最多,我们本期来详细了解vlan的划分与端口隔离。

一、划分vlan

在面对ip地址较多的时候,我们常用的方法就是划分vlan,VLAN的作用是隔离广播,同一个VLAN在一个广播域,端口隔离就是将同一个VLAN不同接口再进行隔离。使用三层交换机划分vlan,可以使vlan之间相互通信。

举例

某公司有1000台电脑,公司有若干个部门,部门之间有相互往来,如何来规划ip地址?

分析:1000台电脑可以设置成6个网段,当然也可以设置5个网段,设置6个网段方便以后扩展性。那我们ip地址可以如下:

Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24

VLAN的主要优点有:

1、限制广播域。广播域被限制在一个VLAN内,提高了网络处理能力。

2、增强局域网的安全性。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。

3、灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。

二、端口隔离

我们上面提到了,对于网型网络来说,vlan是一种不错的解决办法,那除了vlan还可以使用端口隔离了。

用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。

端口隔离一般用于内网中,端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。

举例:

端口隔离的方法和应用场景如下图所示。PC1、PC2和PC3同属于VLAN10

要求:实现pc2与pc3 不能互相访问,pc1与 pc2之间可以互相访问 pc1与pc3之间可以互相访问。

Pc 1 10.10.10.1 255.255.255.0 连接交换机 GE1/0/1端口
Pc 2 10.10.10.2 255.255.255.0 连接交换机 GE1/0/2端口
Pc 3 10.10.10.3 255.255.255.0 连接交换机 GE1/0/3端口
网关为:10.10.10.4
端口隔离和VLAN的区别

配置步骤:

system-view #进入系统视图

[Huawei]vlan 10 #创建vlan 10

[Huawei-vlan10]int vlan 10 #进入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #设置vlan 10 ip 与掩码

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access #设置端口模式为access 模式,access端口只能属于一个vlan;

[Huawei-GigabitEthernet1/0/3]quit #退出

[Huawei]int GigabitEthernet 1/0/2 #进入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access #设置端口模式为access 模式

[Huawei-GigabitEthernet1/0/2]qui****t #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔离端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔离端口 2

[Huawei-GigabitEthernet1/0/3]quit

这种实现了端口与端口3之间不能互相通信。

作为交换机有效的访问控制安全控制机制之一:端口隔离,其安全、灵活的特性在实际组网中应用广泛,它可以将指定的端口可以加入到特定的端口隔离组中,同一端口隔离组的端口之间互相隔离,不同端口隔离组的端口之间不隔离。

是不是感觉似曾相识,感觉跟划分VLAN差不多,其实不然,虽然VLAN和端口隔离都是把一部分设备独立在一个空间内,有防护功能,但VLAN一般用来隔离广播的,譬如一栋大楼,每层一个VLAN,隔离出广播域,而端口隔离则不同,一般同一个VLAN的用户都是同一网段的,所以是可以ping通访问的,实现共享资料的,但是做了端口隔离后,即使在同一网段,也禁止互相访问,安全指数更高!

简言之就是:VLAN的作用是隔离广播,同一个VLAN在一个广播域,端口隔离就是将同一个VLAN不同接口再进行隔离。

三、总结

1、端口隔离的端口之间无法相互通信,但可以与上联口通信;VLAN是同VLAN ID的端口可以任意通信,不同VLAN之间不能直接通信。

2、端口隔离的各个端口仍然处于同一IP段;VLAN则必须每个VLAN对应一个独立的IP段。

3、端口隔离仅限于单台交换机,即无法控制通过上联口互联的两台交换机之间的隔离端口的通信;VLAN可以跨越多台交换机,只要VLAN ID不同,就无法直接通信。

4、上联口无法区分端口隔离的数据来自哪个端口,但是可以区分VLAN的数据归属于哪个VLAN。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/10578

(0)
凯影的头像凯影
上一篇 2023年12月14日 下午3:16
下一篇 2023年12月15日 下午2:59

相关推荐

  • K8S 中使用kubectl工具远程连接K8S集群

    一、概述 一般情况下,在k8smaster节点上集群管理工具kubectl是连接的本地http8080端口和apiserver进行通讯的, 当然也可以通过https端口进行通讯前提是要生成证书。所以说kubectl不一定部署在master上,只要能和apiserver进行通讯, 所以你可以将kubectl部署在任何一台你想连接到集群的主机上,以下将介绍基于证…

    2023年5月29日
    24200
  • 内网穿透—nps

    nps nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端 做微信公众号开发、小程序开发等—-> 域…

    2022年6月7日
    89200
  • 如何快速查看 Kubernetes Pod 崩溃前的日志

    当pod处于crash状态的时候,容器不断重启,此时用 kubelet logs 可能出现一直捕捉不到日志。解决方法: kubectl previous 参数作用:If true, print the logs for the previous instance of the container in a pod if it e…

    2023年7月13日
    28400
  • 解决无线频繁断网,这个办法值得收藏!

    你们好,我的网工朋友。 在如今互联网普及率非常高的环境下,我们的日常生活和工作都与网络紧密相连。在追求较高网速的同时,稳定的网络传输质量越来越受到关注。 无线网络是现在办公中最常见的弱电网络系统,也是现代生活中最不可缺少的,没有网络,意味着你无法正常开展工作。 而在这个过程中一定会发生很多问题,你可能遇到过很多问题,也解决过不少,但你缺少了汇总这一步,所以就…

    2024年1月15日
    8200
  • 企业如何做好业务监控​?

    大部分企业都会做基础设施监控,觉得做好基础设施监控就可以解决大部分问题。至于业务方面监控,等有人来说了再处理就行。殊不知这种想法会有诸多隐患。 为什么要做业务监控? 通常情况下,大部分企业都会做基础设施监控,觉得做好基础设施监控就可以解决大部分问题。至于业务方面监控,等有人来说了再处理就行。殊不知这种想法会有诸多隐患: 1、运维比业务部门经常晚发现业务有问题…

    2023年12月6日
    7500

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信