如何透過L2 Port Isolation分離流量
Zyxel Employee
這是一種常見的應用程序,我們希望在網路環境中分離或隔離Switch上各種客戶端/設備之間的相互通信。
最直觀的實現是創建不同的VLAN,以便將LAN邏輯上劃分為不同的廣播域,以實現目標。
但是,在某些情況下,我們可能希望隔離客戶端之間的流量,但是客戶端仍然共享相同的子網和VLAN。假設在一家商業酒店網路中,位於不同房間的客戶端可能屬於同一子網和VLAN才能訪問Internet,但是客戶端之間無法進行通信。
在Zyxel企業級Switch上,我們可以使用Advanced Application -> VLAN -> VLAN Configuration -> VLAN Port Setup中的“Port Isolation”功能來分隔特定port之間的流量,儘管它們屬於同一VLAN。
這是來自客戶問題的情況。所有客戶端PC都在同一子網和VLAN中
透過在Switch上使用L2 port isolation,目標是:
1. 每台PC都可以上網。
2. 每台PC不能相互通信。
在以下內容中,將逐步介紹如何使用3 x GS2210-8實現L2 port isolation以實現該目標的過程。
注意:
本文使用所有網路位址和子網路遮罩作為範例。請用您的實際網路配置替換它們。
1. Switch中的設定
1-1. 登入Switch C的Web GUI。
1-2. 選到Advance Application > VLAN > VLAN Configuration > VLAN Port Setup
勾選port 1和2的isolation。
注意:
如果Switch B下有多個客戶端,請遵循與Switch C相同的配置模式。在這種情況下,由於Switch B下只有一個客戶端,因此沒有必要。
1-3. 登入Switch A的Web GUI。
1-4. 選到Advance Application > VLAN > VLAN Configuration > VLAN Port Setup
勾選port 1、7和8的isolation。
2. 測試結果
2-1. 客戶端D可以ping通Gateway並瀏覽Internet。
2-2. 客戶端D無法與客戶端A,B或C通信。
3. 可能出錯的地方
3-1. L2 port isolation是基於port的,而不是基於VLAN的,也就是說,只要將特定port設定為隔離port,則無論是否在同一VLAN中,它們都無法相互通信。
