端口隔离和VLAN的区别

对于大型网络，咱们经常对于ip的规划比较烦恼，也有不少朋友问到，对于1000个以上的终端设备如何去设置它的ip地址呢？

对于大型网络，它的ip规划咱们经常的作法是划分vlan，由于划分vlan有诸多好处，方便管理以及提高了整个网络的安全性。固然除了划分vlan有其它的方法吗？答案是确定，那就是端口隔离。这两种方法在ip规划中使用的最多，咱们本期来详细了解vlan的划分与端口隔离。

1、划分vlan

在面对ip地址较多的时候，咱们经常使用的方法就是划分vlan，VLAN的做用是隔离广播，同一个VLAN在一个广播域，端口隔离就是将同一个VLAN不一样接口再进行隔离。使用三层交换机划分vlan，可使vlan之间相互通讯。

举例

某公司有1000台电脑，公司有若干个部门，部门之间有相互往来，如何来规划ip地址？

分析：1000台电脑能够设置成6个网段，固然也能够设置5个网段，设置6个网段方便之后扩展性。那咱们ip地址能够以下：

Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24

VLAN的主要优势有：

一、限制广播域。广播域被限制在一个VLAN内，提升了网络处理能力。

二、加强局域网的安全性。VLAN的优点在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减小设备投资、简化网络管理、提升网络安全性。

三、灵活构建虚拟工做组。用VLAN能够划分不一样的用户到不一样的工做组，同一工做组的用户也没必要局限于某一固定的物理范围，网络构建和维护更方便灵活。

2、端口隔离

咱们上面提到了，对于网型网络来讲，vlan是一种不错的解决办法，那除了vlan还可使用端口隔离了。

用户能够将不一样的端口加入不一样的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，能够实现同一VLAN内端口之间的隔离。用户只须要将端口加入到隔离组中，就能够实现隔离组内端口之间二层数据的隔离。

端口隔离通常用于内网中，端口隔离的端口之间没法相互通讯，因此端口隔离功能为用户提供了更安全的方案。

举例：

端口隔离的方法和应用场景以下图所示。PC一、PC2和PC3同属于VLAN10

要求：实现pc2与pc3 不能互相访问，pc1与 pc2之间能够互相访问 pc1与pc3之间能够互相访问。

Pc 1 10.10.10.1 255.255.255.0 链接交换机 GE1/0/1端口
Pc 2 10.10.10.2 255.255.255.0 链接交换机 GE1/0/2端口
Pc 3 10.10.10.3 255.255.255.0 链接交换机 GE1/0/3端口
网关为：10.10.10.4

配置步骤：

<Huawei> system-view #进入系统视图

[Huawei]vlan 10 #建立vlan 10

[Huawei-vlan10]int vlan 10 #进入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #设置vlan 10 ip 与掩码

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access #设置端口模式为access 模式，access端口只能属于一个vlan；

[Huawei-GigabitEthernet1/0/3]quit #退出

[Huawei]int GigabitEthernet 1/0/2 #进入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access #设置端口模式为access 模式

[Huawei-GigabitEthernet1/0/2]quit #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔离端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #进入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔离端口 2

[Huawei-GigabitEthernet1/0/3]quit

这种实现了端口与端口3之间不能互相通讯。

做为交换机有效的访问控制安全控制机制之一：端口隔离，其安全、灵活的特性在实际组网中应用普遍，它能够将指定的端口能够加入到特定的端口隔离组中，同一端口隔离组的端口之间互相隔离，不一样端口隔离组的端口之间不隔离。

是否是感受似曾相识，感受跟划分VLAN差很少，其实否则，虽然VLAN和端口隔离都是把一部分设备独立在一个空间内，有防御功能，但VLAN通常用来隔离广播的，譬如一栋大楼，每层一个VLAN，隔离出广播域，而端口隔离则不一样，通常同一个VLAN的用户都是同一网段的，因此是能够ping通访问的，实现共享资料的，可是作了端口隔离后，即便在同一网段，也禁止互相访问，安全指数更高！

简言之就是：VLAN的做用是隔离广播，同一个VLAN在一个广播域，端口隔离就是将同一个VLAN不一样接口再进行隔离。

3、总结

一、端口隔离的端口之间没法相互通讯，但能够与上联口通讯；VLAN是同VLAN ID的端口能够任意通讯，不一样VLAN之间不能直接通讯。

二、端口隔离的各个端口仍然处于同一IP段；VLAN则必须每一个VLAN对应一个独立的IP段。

三、端口隔离仅限于单台交换机，即没法控制经过上联口互联的两台交换机之间的隔离端口的通讯；VLAN能够跨越多台交换机，只要VLAN ID不一样，就没法直接通讯。

四、上联口没法区分端口隔离的数据来自哪一个端口，可是能够区分VLAN的数据归属于哪一个VLAN。