实际案例分析

某公司，由于【yóu yú】业🚮务要求🗻，为了【le】保障服务🌩器高可用性【yòng xìng】，对服务器实现了【le】NLB群集技😴术【shù】。万事有🐢利就有🎑弊，由于【yóu yú】NLB群集在【qún jí zài】📁实际环【shí jì huán】境中一🚌般采用【bān cǎi yòng】🕢多播技【duō bō jì】术【shù】，交换机同一出口下的节点均💺为收到大量广【dà liàng guǎng】播，一些网🤸络延时【luò yán shí】要求较小(如做网络电话、短信群【duǎn xìn qún】发业务🤝)的用户【de yòng hù】✈网络性能将会受到很大影响【dà yǐng xiǎng】。

面对这👒种情况我们首🎶先想到【xiān xiǎng dào】的【de】🥇是子网划分【huá fèn】🔬或者是【huò zhě shì】划为VLAN，划分【huá fèn】🔬子网后问【wèn】♿题依然存在【cún zài】🙅，这个时【zhè gè shí】候一般只能考💈虑划分【lǜ huá fèn】🔬VLAN，但是由于IDC服务器【fú wù qì】🗿节点上【jiē diǎn shàng】联设备🦌几乎没有划分【huá fèn】👊VLAN的【de】🥇，因为服务器【fú wù qì】🗿的【de】🥇上联交【shàng lián jiāo】换机一【huàn jī yī】👙般是用⛩户自己的【de】🥇，而IDC中的【de】🥇交换机也划有【yě huá yǒu】VLAN，服务器【fú wù qì】🗿的【de】🥇上联交【shàng lián jiāo】换机配【huàn jī pèi】置VLAN时需要【shí xū yào】配置Trunk，否则无⏬法与上【fǎ yǔ shàng】联设备🦌进行通🚦讯，由于机房网络拓扑环【tuò pū huán】境用户自己不💀熟悉🔔，所以没【suǒ yǐ méi】办法划分【huá fèn】🔬VLAN。难道这种情况就没办🧠法解决了吗【le ma】?

答案是有的，那就是端口隔离技术.

端口隔离技术概述

端口隔【duān kǒu gé】离技术【jì shù】😄是一种【shì yī zhǒng】🐱实现在客户端的端口【de duān kǒu】🐈间的足够的隔离度以【lí dù yǐ】🦀保证一【bǎo zhèng yī】个客户端不会收到另外一个🏥客户端的流量的技术【de jì shù】。通过端口隔【duān kǒu gé】离技术【jì shù】😄，用户可以将需📚要进行【yào jìn háng】❌控制的【kòng zhì de】😠端口加【duān kǒu jiā】🕝入到一个隔离组中【zǔ zhōng】，通过端口隔【duān kǒu gé】离特性，用户可以将需📚要进行【yào jìn háng】❌控制的【kòng zhì de】😠端口加【duān kǒu jiā】🕝入到一个隔离组中【zǔ zhōng】，实现隔【shí xiàn gé】离组中【zǔ zhōng】的端口【de duān kǒu】🐈之间二【zhī jiān èr】😅层数据的隔离，使用隔离技术【jì shù】😄后隔离【hòu gé lí】🎣端口之💇间就不【jiān jiù bú】😟会产生单播、广播和【guǎng bō hé】组播，病毒就🤖不会在隔离计算机之🤠间传播【jiān chuán bō】👴，增加了【zēng jiā le】网络安【wǎng luò ān】全性，提高了网络性🏝能📭

实际环境应用

好【hǎo】，下面我🔸们来看【men lái kàn】一个端口隔离🧀实际应用(以H3C S2126-ei交换机为例【wéi lì】🍊)

病因【bìng yīn】🕺：某用户经常对外发送【wài fā sòng】大量广播【bō】💑，造成网络性能严重下📓降

处方：端口隔离技术

三台服务器分为3个实际【gè shí jì】用户💨，分别连【fèn bié lián】接交换【jiē jiāo huàn】💘机的👪

sys

System View: return to User View with Ctrl+Z.

[H3C]interface Ethernet 1/0/1

[H3C-Ethernet1/0/1]port isolate //设置本端口【kǒu】❎为隔离【wéi gé lí】端🏝口【kǒu】❎

[H3C-Ethernet1/0/1]quit

[H3C] interface Ethernet 1/0/2

[H3C-Ethernet1/0/2]port isolate //设置本【shè zhì běn】🛋端口为【duān kǒu wéi】❣隔离端口

[H3C-Ethernet1/0/2]quit

[H3C] interface Ethernet 1/0/3

[H3C-Ethernet1/0/3]port isolate //设置本端【duān】口🈴为隔离【wéi gé lí】端【duān】🙁口🈴

[H3C-Ethernet1/0/3]quit

[H3C]save //保存配置

[H3C]display isolate port //查询端口【kǒu】🚺隔离组中的端口【kǒu】🚺

[H3C-Ethernet1/0/X]undo port isolate //删除某💿端口【duān kǒu】🤫下的隔【xià de gé】离端口【duān kǒu】🤫

注：端口隔离不同于VLAN

其它厂商品牌交换机端口隔离技术应用

华为

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1] port-isolate enable //开启本📐端口隔离功能【lí gōng néng】

思科

Switch(config)# interface 端口号【duān kǒu hào】😒

Switch(config-if)# switchitchport protected //开启端🥛口保护【kǒu bǎo hù】功能

注【zhù】💏：思科个别型号【bié xíng hào】📝交换机采用【cǎi yòng】PVLAN来实现端口保护功能🥀

D-link

config traffic_segmentation [] forward_list [null |]

注🤬：表示指定哪个端口【duān kǒu】作为隔离☕端口【duān kǒu】，参数null表示没【biǎo shì méi】🎟有上连【yǒu shàng lián】端口【duān kǒu】，参数表💫示上连【shì shàng lián】端口【duān kǒu】