Технология PORT ISOLATION

Для реализации изоляции кадров на уровне 2 порты коммутатора можно добавить в разные VLAN-подсети. Но, к сожалению, количество ресурсов технологии VLAN ограничено, поэтому данный метод не будет эффективным. Однако коммутаторы Kyland поддерживают функцию изоляции портов, которая позволяет изолировать порты в одной и той же VLAN друг от друга. Следует только добавить порт в группу изоляции, и изоляция данных на уровне 2 между портами группы изоляции будет реализована, поскольку порты в группе изоляции не будут пересылать кадры на другие порты группы изоляции. Данная функция предоставляет более безопасное и гибкое сетевое решение.

Особенности технологии

• В соответствии с конфигурацией изолирующей группы, только порты с включенной изоляцией портов не могут обмениваться информацией друг с другом, в то время как связь между портами внутри изолирующей группы и портами за пределами изолирующей группы не будет подвержена влиянию.
• Функции Port Isolation и Port Channel являются взаимоисключающими.
• Порты, участвующие в функции Port Isolation, не могут быть добавлены в группу портов функции Port Channel. Аналогично порты, участвующие в функции Port Channel, не могут быть добавлены в изолирующую группу функции Port Isolation.
• Порты изолирующей группы могут быть только портами одного и того же коммутатора.

Настройка функции изолирования

Пример 1

В сети имеются три устройства: ПК1, ПК2 и ПК3. ПК1 и ПК3 относятся к технологической сети и находятся в одном VLAN с идентификатором 10. А ПК2 относится к отделу бухгалтерии, поэтому помещен в VLAN20. По правилам фильтрации технологии VLAN эти два отдела будут разграничены.

Дополнительно требуется, чтобы устройства, которые находятся в технологической сети (ПК1 и ПК3) не могли взаимодействовать друг с другом. Для этого их можно изолировать.

Настройка

1. Настройка адресации

   Каждому коммутатору назначается уникальный IP-адрес в одной подсети.

   

2. Настройка VLAN

   Назначаем соответствующие схеме идентификаторы Access-портам для подключения конечных устройств.

   

   На данном этапе разграничение доступа есть только между разными VLAN-подсетями (VLAN10 и VLAN20).

3. Настройка функции изоляции

   Добавляем порты 1 и 3 в группу изоляции.

   

Пример 2

Все компьютеры в технологической сети помещены в одну подсеть VLAN с идентификатором 10. Требуется, чтобы ПК2 главного инженера имел доступ к ПК1 и ПК3 его помощников, но помощники не взаимодействовали друг с другом.

Настройка

1. Настройка адресации

   Каждому коммутатору назначается уникальный IP-адрес в одной подсети.

2. Настройка VLAN

   Назначаем соответствующие схеме идентификаторы Access-портам для подключения конечных устройств.

   

   На данном этапе разграничения доступа нет, все компьютеры могут взаимодействовать друг с другом, т.к. находятся в одном подсети VLAN.

3. Настройка функции изоляции

   Добавляем порты 1 и 3 в группу изоляции.

   

В итоге получаем, что ПК2, подключенный к порту 2, может связываться с ПК1 и ПК3, а они в свою очередь между собой не имеют доступа.