實際案例分析

某公司，由于業(yè)務要求，為了保障服務器高可用性，對服務器實現(xiàn)了NLB群集技術。萬事有利就有弊，由于NLB群集在實際環(huán)境中一般采用多播技術，交換機同一出口下的節(jié)點均為收到大量廣播，一些網(wǎng)絡延時要求較小(如做網(wǎng)絡電話、短信群發(fā)業(yè)務)的用戶網(wǎng)絡性能將會受到很大影響。

面對這種情況我們首先想到的是子網(wǎng)劃分或者是劃為VLAN，劃分子網(wǎng)后問題依然存在，這個時候一般只能考慮劃分VLAN，但是由于IDC服務器節(jié)點上聯(lián)設備幾乎沒有劃分VLAN的，因為服務器的上聯(lián)交換機一般是用戶自己的，而IDC中的交換機也劃有VLAN，服務器的上聯(lián)交換機配置VLAN時需要配置Trunk，否則無法與上聯(lián)設備進行通訊，由于機房網(wǎng)絡拓撲環(huán)境用戶自己不熟悉，所以沒辦法劃分VLAN。難道這種情況就沒辦法解決了嗎?

答案是有的，那就是端口隔離技術.

端口隔離技術概述

端口隔離技術是一種實現(xiàn)在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，通過端口隔離特性，用戶可以將需要進行控制的端口加入到一個隔離組中，實現(xiàn)隔離組中的端口之間二層數(shù)據(jù)的隔離，使用隔離技術后隔離端口之間就不會產(chǎn)生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，增加了網(wǎng)絡安全性，提高了網(wǎng)絡性能

實際環(huán)境應用

好，下面我們來看一個端口隔離實際應用(以H3C S2126-ei交換機為例)

病因：某用戶經(jīng)常對外發(fā)送大量廣播，造成網(wǎng)絡性能嚴重下降

處方：端口隔離技術

三臺服務器分為3個實際用戶，分別連接交換機的

sys

System View: return to User View with Ctrl+Z.

[H3C]interface Ethernet 1/0/1

[H3C-Ethernet1/0/1]port isolate //設置本端口為隔離端口

[H3C-Ethernet1/0/1]quit

[H3C] interface Ethernet 1/0/2

[H3C-Ethernet1/0/2]port isolate //設置本端口為隔離端口

[H3C-Ethernet1/0/2]quit

[H3C] interface Ethernet 1/0/3

[H3C-Ethernet1/0/3]port isolate //設置本端口為隔離端口

[H3C-Ethernet1/0/3]quit

[H3C]save //保存配置

[H3C]display isolate port //查詢端口隔離組中的端口

[H3C-Ethernet1/0/X]undo port isolate //刪除某端口下的隔離端口

注：端口隔離不同于VLAN

其它廠商品牌交換機端口隔離技術應用

華為

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1] port-isolate enable //開啟本端口隔離功能

思科

Switch(config)# interface 端口號

Switch(config-if)# switchitchport protected //開啟端口保護功能

注：思科個別型號交換機采用PVLAN來實現(xiàn)端口保護功能

D-link

config traffic_segmentation [] forward_list [null |]

注：表示指定哪個端口作為隔離端口，參數(shù)null表示沒有上連端口，參數(shù)表示上連端口