端口隔離的應用場(chǎng)景是什麽?
2014/10/1 21:13:23點擊:
問題描述
端口隔離的應用場(chǎng)景是什麽?
解決方案
為了實現報文之間(jiān)的二層隔離,用戶可(kě)以将不同的端口加入不同的VLAN,但(dàn)這樣會(huì)浪費有(yǒu)限的VLAN資源。采用端口隔離功能,可(kě)以實現同一VLAN內(nèi)端口之間(jiān)的隔離。用戶隻需要将端口加入到隔離組中,就可(kě)以實現隔離組內(nèi)端口之間(jiān)二層數(shù)據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。
端口隔離的方法和(hé)應用場(chǎng)景如圖1-2所示。PC1、PC2和(hé)PC3同屬于VLAN10,将PC1與PC2對應的端口GE1/0/1和(hé)GE1/0/2加入端口隔離組後,PC1與PC2在VLAN10內(nèi)不能互相訪問,但(dàn)是PC3與PC1之間(jiān)可(kě)以互相訪問,PC3與PC2之間(jiān)也可(kě)以互相訪問。
現網中可(kě)能存在如下情況時(shí),還(hái)可(kě)以配置端口單向隔離功能。接入同一個(gè)設備不同接口的多(duō)台主機,若某台主機存在安全隐患,可(kě)能會(huì)向其他主機發送大(dà)量的廣播報文。用戶可(kě)以通(tōng)過配置接口間(jiān)的單向隔離來(lái)實現其他主機對該主機報文的隔離。
如圖1-3所示,假設PC4存在安全隐患,會(huì)向其他主機發送大(dà)量廣播報文,可(kě)以僅在PC4對應設備接口GE1/0/4上(shàng)配置與GE1/0/5、GE1/0/6進行(xíng)單向隔離,這樣PC4發送的廣播報文不能到達PC5、PC6,但(dàn)從PC5、PC6發送的廣播報文可(kě)以到達PC4。
端口隔離的方法和(hé)應用場(chǎng)景如圖1-2所示。PC1、PC2和(hé)PC3同屬于VLAN10,将PC1與PC2對應的端口GE1/0/1和(hé)GE1/0/2加入端口隔離組後,PC1與PC2在VLAN10內(nèi)不能互相訪問,但(dàn)是PC3與PC1之間(jiān)可(kě)以互相訪問,PC3與PC2之間(jiān)也可(kě)以互相訪問。
現網中可(kě)能存在如下情況時(shí),還(hái)可(kě)以配置端口單向隔離功能。接入同一個(gè)設備不同接口的多(duō)台主機,若某台主機存在安全隐患,可(kě)能會(huì)向其他主機發送大(dà)量的廣播報文。用戶可(kě)以通(tōng)過配置接口間(jiān)的單向隔離來(lái)實現其他主機對該主機報文的隔離。
如圖1-3所示,假設PC4存在安全隐患,會(huì)向其他主機發送大(dà)量廣播報文,可(kě)以僅在PC4對應設備接口GE1/0/4上(shàng)配置與GE1/0/5、GE1/0/6進行(xíng)單向隔離,這樣PC4發送的廣播報文不能到達PC5、PC6,但(dàn)從PC5、PC6發送的廣播報文可(kě)以到達PC4。
- 上(shàng)一篇:設備的默認Console密碼、BootROM密碼和(hé)Telne 2014/10/1
- 下一篇:為什麽S5700插上(shàng)前插卡隻能顯示2個(gè)光接口? 2014/10/1