引言：有些時(shí)候，我們并不希望物理連接在一起的計(jì)算機(jī)之間相互通信，而需要把它們相互邏輯隔離起來。本文就交換機(jī)端口隔離方法進(jìn)行論述，說明物理連接情況下邏輯隔離在網(wǎng)絡(luò)管理實(shí)踐中的應(yīng)用。

作為一個(gè)網(wǎng)絡(luò)管理者，需對(duì)聯(lián)網(wǎng)計(jì)算機(jī)采取隔離措施。以下是我在單位中常遇到需要隔離的事例：

事例1：要在電腦教室中進(jìn)行某類考試，各計(jì)算機(jī)之間不允許互相通信。但每臺(tái)學(xué)生機(jī)必須能聯(lián)通到教師機(jī)，因?yàn)榻處煓C(jī)需要給每臺(tái)學(xué)生機(jī)下發(fā)試題，同時(shí)學(xué)生機(jī)需要上交試卷到教師機(jī)。

事例2：學(xué)生喜歡聯(lián)網(wǎng)共享游戲，這就需要學(xué)生機(jī)互相隔離。但學(xué)生機(jī)是需要聯(lián)通到學(xué)校局域網(wǎng)和Internert的，因?yàn)閷W(xué)生需要訪問學(xué)校網(wǎng)站和到外網(wǎng)上查找資料。

事例3：根據(jù)需要進(jìn)行分組隔離。

聯(lián)網(wǎng)計(jì)算機(jī)相互隔離的方法

方法一：通過操作系統(tǒng)本身禁止共享和訪問。

1.在“服務(wù)”中關(guān)閉“Server” 服務(wù)和“Workstation”服務(wù)；

2.在“用戶權(quán)限分配”的“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”中刪除“Everyone”和“Guest”等用戶；

3.在“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”當(dāng)中增加“Everyone”和“Guest”等用戶。

方法二：通過VLAN、子網(wǎng)或ACL進(jìn)行隔離。

把需要隔離的計(jì)算機(jī)劃分到不同的VLAN中；或把需要隔離的計(jì)算機(jī)劃分到不同的子網(wǎng)中；或利用ACL等。這些都可以實(shí)現(xiàn)隔離的目的，但都沒有端口隔離來得簡(jiǎn)明扼要。

方法三：通過交換機(jī)的端口隔離進(jìn)行隔離。

不同型號(hào)交換機(jī)的端口隔離命令有些區(qū)別，比如有些Cisco和銳捷交換機(jī)隔離命令是switchport protected。有些華為和H3C交換機(jī)隔離命令是Port-isolate enable或 者交換機(jī)隔離命令是isolateport allowed ethernet。本文以華為S5700為例，其它型號(hào)可舉一反三。

單交換機(jī)端口隔離的實(shí)現(xiàn)

如圖1所示的拓?fù)浣Y(jié)構(gòu)，g0/0/1-g0/0/22為學(xué)生機(jī)端口，g0/0/23為教師機(jī)端口，g0/0/24為上聯(lián)端口。其中上聯(lián)端口和教師機(jī)端口不要被隔離，只把學(xué)生機(jī)所在的端口隔即可。隔離命令為：

跨交換機(jī)端口隔離的實(shí)現(xiàn)

事實(shí)上，如果電腦室有56臺(tái)計(jì)算機(jī)，若使用24電口交換機(jī)就需要三臺(tái)。通過實(shí)際操作會(huì)發(fā)現(xiàn)下面的問題，計(jì)算機(jī)接入端口被隔離后，同一交換機(jī)下的所有計(jì)算機(jī)確實(shí)是被隔離了，但跨交換機(jī)之間的計(jì)算機(jī)仍然是能ping通的。也就是說，計(jì)算機(jī)所在端口隔離只隔離了同一交換機(jī)端口下的計(jì)算機(jī)，對(duì)于跨交換機(jī)端口下的計(jì)算機(jī)并沒有被隔離。如2 GE0/0/21和GE0/0/22端口。而各交換機(jī)的上聯(lián)端口是不能被隔離的，如S1、S2和S3的GE0/0/24端口，否則上聯(lián)端口不能轉(zhuǎn)發(fā)數(shù)據(jù)。S1具體配置如下：

圖1 單交換機(jī)拓?fù)浣Y(jié)構(gòu)圖

圖2 跨交換機(jī)拓?fù)浣Y(jié)構(gòu)圖

圖3 分組拓?fù)浣Y(jié)構(gòu)圖

S2和S3的配置同理可得，略。拓?fù)鋱D中，學(xué)生機(jī)1和學(xué)生機(jī)2被隔離了，但學(xué)生機(jī)1和學(xué)生機(jī)3、學(xué)生機(jī)1和學(xué)生機(jī)4還是可以通信的。

要實(shí)現(xiàn)跨交換機(jī)的隔離，必須要把承擔(dān)著匯聚的交換機(jī)S1的下聯(lián)端口當(dāng)成普通接入端口進(jìn)行隔離，如圖2所示的拓?fù)鋱D中S1的

分組隔離

如圖3拓?fù)鋱D所示，假如學(xué)生機(jī)1、學(xué)生機(jī)2為第一隔離組，學(xué)生機(jī)3、學(xué)生機(jī)4為第二隔離組。配置命令如下：