端口隔离和 VLAN 的区别

对于大型网络，我们常常对于 ip 的规划比较烦恼，也有很多朋友问到，对于 1000 个以上的终端设备如何去设置它的 ip 地址呢？

对于大型网络，它的 ip 规划我们常常的做法是划分 vlan，因为划分 vlan 有诸多好处，方便管理以及提升了整个网络的安全性。当然除了划分 vlan 有其它的方法吗？答案是肯定，那就是端口隔离。这两种方法在 ip 规划中使用的最多，我们本期来详细了解 vlan 的划分与端口隔离。

一、划分 vlan

在面对 ip 地址较多的时候，我们常用的方法就是划分 vlan，VLAN 的作用是隔离广播，同一个 VLAN 在一个广播域，端口隔离就是将同一个 VLAN 不同接口再进行隔离。使用三层交换机划分 vlan，可以使 vlan 之间相互通信。

举例

某公司有 1000 台电脑，公司有若干个部门，部门之间有相互往来，如何来规划 ip 地址？

分析：1000 台电脑可以设置成 6 个网段，当然也可以设置 5 个网段，设置 6 个网段方便以后扩展性。那我们 ip 地址可以如下：

Vlan1:192.168.1.1/24Vlan2:192.168.2.1/24Vlan3:192.168.3.1/24Vlan4:192.168.4.1/24Vlan5:192.168.5.1/24Vlan6:192.168.6.1/24

VLAN 的主要优点有：

1、限制广播域。广播域被限制在一个 VLAN 内，提高了网络处理能力。

2、增强局域网的安全性。VLAN 的优势在于 VLAN 内部的广播和单播流量不会被转发到其它 VLAN 中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。

3、灵活构建虚拟工作组。用 VLAN 可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

二、端口隔离

我们上面提到了，对于网型网络来说，vlan 是一种不错的解决办法，那除了 vlan 还可以使用端口隔离了。

用户可以将不同的端口加入不同的 VLAN，但这样会浪费有限的 VLAN 资源。采用端口隔离功能，可以实现同一 VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

端口隔离一般用于内网中，端口隔离的端口之间无法相互通信，所以端口隔离功能为用户提供了更安全的方案。

举例：

端口隔离的方法和应用场景如下图所示。PC1、PC2 和 PC3 同属于 VLAN10

要求：实现 pc2 与 pc3 不能互相访问，pc1 与 pc2 之间可以互相访问 pc1 与 pc3 之间可以互相访问。

Pc 1 10.10.10.1 255.255.255.0 连接交换机 GE1/0/1端口Pc 2 10.10.10.2 255.255.255.0 连接交换机 GE1/0/2端口Pc 3 10.10.10.3 255.255.255.0 连接交换机 GE1/0/3端口网关为：10.10.10.4

配置步骤：

<Huawei>system-view #进入系统视图

[Huawei]vlan 10 #创建 vlan 10

[Huawei-vlan10]int vlan 10 #进入 vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #设置 vlan 10 ip 与掩码

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #进入端口 3

[Huawei-GigabitEthernet1/0/3]port link-type access #设置端口模式为 access 模式，access 端口只能属于一个 vlan；

[Huawei-GigabitEthernet1/0/3]quit #退出

[Huawei]int GigabitEthernet 1/0/2 #进入端口 2

[Huawei-GigabitEthernet1/0/2]port link-type access #设置端口模式为 access 模式

[Huawei-GigabitEthernet1/0/2]qui**t** #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔离端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #进入端口 3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔离端口 2

[Huawei-GigabitEthernet1/0/3]quit

这种实现了端口与端口 3 之间不能互相通信。

作为交换机有效的访问控制安全控制机制之一：端口隔离，其安全、灵活的特性在实际组网中应用广泛，它可以将指定的端口可以加入到特定的端口隔离组中，同一端口隔离组的端口之间互相隔离，不同端口隔离组的端口之间不隔离。

是不是感觉似曾相识，感觉跟划分 VLAN 差不多，其实不然，虽然 VLAN 和端口隔离都是把一部分设备独立在一个空间内，有防护功能，但 VLAN 一般用来隔离广播的，譬如一栋大楼，每层一个 VLAN，隔离出广播域，而端口隔离则不同，一般同一个 VLAN 的用户都是同一网段的，所以是可以 ping 通访问的，实现共享资料的，但是做了端口隔离后，即使在同一网段，也禁止互相访问，安全指数更高！

简言之就是：VLAN 的作用是隔离广播，同一个 VLAN 在一个广播域，端口隔离就是将同一个 VLAN 不同接口再进行隔离。

三、总结

1、端口隔离的端口之间无法相互通信，但可以与上联口通信；VLAN 是同 VLAN ID 的端口可以任意通信，不同 VLAN 之间不能直接通信。

2、端口隔离的各个端口仍然处于同一 IP 段；VLAN 则必须每个 VLAN 对应一个独立的 IP 段。

3、端口隔离仅限于单台交换机，即无法控制通过上联口互联的两台交换机之间的隔离端口的通信；VLAN 可以跨越多台交换机，只要 VLAN ID 不同，就无法直接通信。

4、上联口无法区分端口隔离的数据来自哪个端口，但是可以区分 VLAN 的数据归属于哪个 VLAN。

关注公众号：网络技术平台，回复 “ *资料* ” 获取视频、培训教程、实验手册、电子书。