025-84520524   025-83616556

您所在的位置:首頁 > 新聞中心 > 問題解答

端口隔離和VLAN兩者區別在哪?

       對於大型網絡,大家常常對於ip的規劃比較煩惱,對於1000路以上的大型監控或網絡如何去設置它的ip地址呢?

         它的ip規劃我們常常的做法是劃分vlan,因為劃分vlan有諸多好處,方便管理以及提升了整個網絡的安全性。當然除了劃分vlan有其它的方法嗎?答案是肯定,那就是端口隔離。這兩種方法在ip規劃中使用的最多,來詳細了解vlan的劃分與端口隔離。


一、劃分vlan
 
           在麵對ip地址較多的時候,我們常用的方法就是劃分vlan,VLAN的作用是隔離廣播,同一個VLAN在一個廣播域,端口隔離就是將同一個VLAN不同接口再進行隔離。使用三層交換機劃分vlan,可以使vlan之間相互通信。


舉例
      某公司有1000台電腦,公司有若幹個部門,部門之間有相互往來,如何來規劃ip地址?
分析:1000台電腦可以設置成6個網段,當然也可以設置5個網段,設置6個網段方便以後擴展性。那我們ip地址可以如下:

        Vlan1:192.168.1.1/24 
        Vlan2:192.168.2.1/24
        Vlan3:192.168.3.1/24
        Vlan4:192.168.4.1/24
        Vlan5:192.168.5.1/24
        Vlan6:192.168.6.1/24


VLAN的主要優點有:


  1、限製廣播域。廣播域被限製在一個VLAN內,提高了網絡處理能力。
  2、增強局域網的安全性。VLAN的優勢在於VLAN內部的廣播和單播流量不會被轉發到其它VLAN中,從而有助於控製網絡流量、減少設備投資、簡化網絡管理、提高網絡安全性。

   3、靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必局限於某一固定的物理範圍,網絡構建和維護更方便靈活。 


二、端口隔離 

      我們上麵提到了,對於網型網絡來說,vlan是一種不錯的解決辦法,那除了vlan還可以使用端口隔離了。用戶可以將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離功能,可以實現同一VLAN內端口之間的隔離。用戶隻需要將端口加入到隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離一般用於內網中,端口隔離的端口之間無法相互通信,所以端口隔離功能為用戶提供了更安全的方案。



舉例:
      端口隔離的方法和應用場景如下圖所示。PC1、PC2和PC3同屬於VLAN10
要求:實現pc2與pc3 不能互相訪問,pc1與 pc2之間可以互相訪問 pc1與pc3之間可以互相訪問。

         Pc 1 10.10.10.1  255.255.255.0  連接交換機 GE1/0/1端口
         Pc 2 10.10.10.2   255.255.255.0  連接交換機  GE1/0/2端口
         Pc 3 10.10.10.3   255.255.255.0 連接交換機  GE1/0/3端口
         網關為:10.10.10.4


配置步驟:
system-view     #進入係統視圖
[Huawei]vlan 10     #創建vlan 10
[Huawei-vlan10]int vlan   10    #進入vlan 10
[Huawei-Vlanif10]ip address 192.168.1.1 /24    #設置vlan 10 ip 與掩碼
[Huawei-Vlanif10]quit    #退出


[Huawei]int GigabitEthernet 1/0/3     #進入端口3
[Huawei-GigabitEthernet1/0/3]port link-type access  #設置端口模式為access 模式,

access端口隻能屬於一個vlan;


[Huawei]int GigabitEthernet 1/0/2   #進入端口2
[Huawei-GigabitEthernet1/0/2]port link-type access  #設置端口模式為access 模式
[Huawei-GigabitEthernet1/0/2]quit    #退出


[Huawei]int GigabitEthernet 1/0/2
[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3    #隔離端口 3
[Huawei-GigabitEthernet1/0/2]quit


[Huawei]int GigabitEthernet 1/0/3    #進入端口3
[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2     #隔離端口 2
[Huawei-GigabitEthernet1/0/3]quit
這種實現了端口與端口3之間不能互相通信。


      作為交換機有效的訪問控製安全控製機製之一:端口隔離,其安全、靈活的特性在實際組網中應用廣泛,它可以將指定的端口可以加入到特定的端口隔離組中,同一端口隔離組的端口之間互相隔離,不同端口隔離組的端口之間不隔離。


       是不是感覺似曾相識,感覺跟劃分VLAN差不多,其實不然,雖然VLAN和端口隔離都是把一部分設備獨立在一個空間內,有防護功能,但VLAN一般用來隔離廣播的,譬如一棟大樓,每層一個VLAN,隔離出廣播域,而端口隔離則不同,一般同一個VLAN的用戶都是同一網段的,所以是可以ping通訪問的,實現共享資料的,但是做了端口隔離後,即使在同一網段,也禁止互相訪問,安全指數更高!


      簡言之就是:VLAN的作用是隔離廣播,同一個VLAN在一個廣播域,端口隔離就是將同一個VLAN不同接口再進行隔離。


三、總結 
  1、端口隔離的端口之間無法相互通信,但可以與上聯口通信;VLAN是同VLAN ID的端口可以任意通信,不同VLAN之間不能直接通信。


2、端口隔離的各個端口仍然處於同一IP段;VLAN則必須每個VLAN對應一個獨立的IP段。


3、端口隔離僅限於單台交換機,即無法控製通過上聯口互聯的兩台交換機之間的隔離端口的通信;VLAN可以跨越多台交換機,隻要VLAN ID不同,就無法直接通信。


4、上聯口無法區分端口隔離的數據來自哪個端口,但是可以區分VLAN的數據歸屬於哪個VLAN。

上一篇:電梯無線網橋項目實例

下一篇:無線AP網絡覆蓋有哪2種組網方式

QQ谘詢

銷售一部     銷售二部
技術支持     售後服務

谘詢熱線13770729945 在線留言
聯係地址 電話谘詢 短信谘詢 公司簡介