很多朋友經(jīng)常留言問(wèn)到，路由器的端口映射怎么用？如何設(shè)置網(wǎng)址黑名單？什么是mac地址綁定？如何解決ip沖突？如何設(shè)置靜態(tài)路由等等，這個(gè)在我們太閣的學(xué)習(xí)群中也經(jīng)常討論到。

對(duì)于大型網(wǎng)絡(luò)，它的ip規(guī)劃我們常常的做法是劃分vlan，因?yàn)閯澐講lan有諸多好處，方便管理以及提升了整個(gè)網(wǎng)絡(luò)的安全性。

當(dāng)然除了劃分vlan有其它的方法嗎？答案是肯定，那就是端口隔離。這兩種方法在ip規(guī)劃中使用的最多，我們本期來(lái)詳細(xì)了解vlan的劃分與端口隔離。

? 01 劃分vlan??

在面對(duì)ip地址較多的時(shí)候，我們常用的方法就是劃分vlan，VLAN的作用是隔離廣播，同一個(gè)VLAN在一個(gè)廣播域，端口隔離就是將同一個(gè)VLAN不同接口再進(jìn)行隔離。使用三層交換機(jī)劃分vlan，可以使vlan之間相互通信。

舉例：某公司有1000臺(tái)電腦，公司有若干個(gè)部門(mén)，部門(mén)之間有相互往來(lái)，如何來(lái)規(guī)劃ip地址？

分析：1000臺(tái)電腦可以設(shè)置成6個(gè)網(wǎng)段，當(dāng)然也可以設(shè)置5個(gè)網(wǎng)段，設(shè)置6個(gè)網(wǎng)段方便以后擴(kuò)展性。那我們ip地址可以如下：

Vlan1:192.168.1.1/24??

Vlan2:192.168.2.1/24

Vlan3:192.168.3.1/24

Vlan4:192.168.4.1/24

Vlan5:192.168.5.1/24

Vlan6:192.168.6.1/24

VLAN的主要優(yōu)點(diǎn)有：

1、限制廣播域。廣播域被限制在一個(gè)VLAN內(nèi)，提高了網(wǎng)絡(luò)處理能力。?

2、增強(qiáng)局域網(wǎng)的安全性。VLAN的優(yōu)勢(shì)在于VLAN內(nèi)部的廣播和單播流量不會(huì)被轉(zhuǎn)發(fā)到其它VLAN中，從而有助于控制網(wǎng)絡(luò)流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)安全性。

3、靈活構(gòu)建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。

?02?端口隔離??

我們上面提到了，對(duì)于網(wǎng)型網(wǎng)絡(luò)來(lái)說(shuō)，vlan是一種不錯(cuò)的解決辦法，那除了vlan還可以使用端口隔離了。

用戶可以將不同的端口加入不同的VLAN，但這樣會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離功能，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。

端口隔離一般用于內(nèi)網(wǎng)中，端口隔離的端口之間無(wú)法相互通信，所以端口隔離功能為用戶提供了更安全的方案。

端口隔離的方法和應(yīng)用場(chǎng)景如下圖所示。PC1、PC2和PC3同屬于VLAN10

要求：實(shí)現(xiàn)pc2與pc3 不能互相訪問(wèn)，pc1與 pc2之間可以互相訪問(wèn) pc1與pc3之間可以互相訪問(wèn)。

Pc 1?10.10.10.1? 255.255.255.0? 連接交換機(jī) GE1/0/1端口

Pc 2?10.10.10.2?? 255.255.255.0? 連接交換機(jī) ?GE1/0/2端口

Pc 3?10.10.10.3?? 255.255.255.0 連接交換機(jī) ?GE1/0/3端口

網(wǎng)關(guān)為：10.10.10.4

配置步驟：

<Huawei>system-view? ???#進(jìn)入系統(tǒng)視圖

[Huawei]vlan 10? ???#創(chuàng)建vlan 10

[Huawei-vlan10]int vlan? ?10? ??#進(jìn)入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24? ??#設(shè)置vlan 10 ip?與掩碼

[Huawei-Vlanif10]quit? ??#退出?

[Huawei]int GigabitEthernet 1/0/3? ???#進(jìn)入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access ?#設(shè)置端口模式為access 模式，access端口只能屬于一個(gè)vlan；

[Huawei]int GigabitEthernet 1/0/2???#進(jìn)入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access??#設(shè)置端口模式為access?模式

[Huawei-GigabitEthernet1/0/2]quit? ??#退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3????#進(jìn)入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2? ???#隔離端口?2

[Huawei-GigabitEthernet1/0/3]quit

這種實(shí)現(xiàn)了端口與端口3之間不能互相通信。

作為交換機(jī)有效的訪問(wèn)控制安全控制機(jī)制之一：端口隔離，其安全、靈活的特性在實(shí)際組網(wǎng)中應(yīng)用廣泛，它可以將指定的端口可以加入到特定的端口隔離組中，同一端口隔離組的端口之間互相隔離，不同端口隔離組的端口之間不隔離。

是不是感覺(jué)似曾相識(shí)，感覺(jué)跟劃分VLAN差不多，其實(shí)不然，雖然VLAN和端口隔離都是把一部分設(shè)備獨(dú)立在一個(gè)空間內(nèi)，有防護(hù)功能，但VLAN一般用來(lái)隔離廣播的。

譬如一棟大樓，每層一個(gè)VLAN，隔離出廣播域，而端口隔離則不同，一般同一個(gè)VLAN的用戶都是同一網(wǎng)段的，所以是可以ping通訪問(wèn)的，實(shí)現(xiàn)共享資料的，但是做了端口隔離后，即使在同一網(wǎng)段，也禁止互相訪問(wèn)，安全指數(shù)更高！

簡(jiǎn)言之就是：VLAN的作用是隔離廣播，同一個(gè)VLAN在一個(gè)廣播域，端口隔離就是將同一個(gè)VLAN不同接口再進(jìn)行隔離。

?03 總結(jié)篇??

• 端口隔離的端口之間無(wú)法相互通信，但可以與上聯(lián)口通信；VLAN是同VLAN ID的端口可以任意通信，不同VLAN之間不能直接通信。

• 端口隔離的各個(gè)端口仍然處于同一IP段；VLAN則必須每個(gè)VLAN對(duì)應(yīng)一個(gè)獨(dú)立的IP段。

• 端口隔離僅限于單臺(tái)交換機(jī)，即無(wú)法控制通過(guò)上聯(lián)口互聯(lián)的兩臺(tái)交換機(jī)之間的隔離端口的通信；VLAN可以跨越多臺(tái)交換機(jī)，只要VLAN ID不同，就無(wú)法直接通信。

• 上聯(lián)口無(wú)法區(qū)分端口隔離的數(shù)據(jù)來(lái)自哪個(gè)端口，但是可以區(qū)分VLAN的數(shù)據(jù)歸屬于哪個(gè)VLAN。