我已经看到一些交换机产品将端口隔离功能宣传为“无需配置 VLAN 即可限制端口通信的方法”,这听起来很......粗略?如果我理解正确,端口隔离允许您从字面上指定每个端口可以与哪些端口通信。这听起来真的 很容易出错,是笨拙的 VLAN/ACL 组合实现的例子。
那么,需要此功能的实际正确用例是什么(不是来自懒惰和误解的用例)?我们可以将端口隔离视为一种简化的 ACL 吗?如果我们有支持 ACL 和 VLAN 的交换机,我不太认为这种功能有任何真正的价值。在我看来,这听起来像是不正确的网络/安全设计。
端口隔离 - 也称为专用 VLAN(感谢@Stuggi) - 对于连接最终用户的交换机来说是一项非常有用的功能。
在典型的网络中,您将许多最终用户计算机组合在一个 VLAN 中,该 VLAN 与其他网络中的某些服务器进行通信。
这些计算机不需要一起通信,因此最好阻止那些不需要的通信。
例如,如果用户感染了病毒(通过电子邮件或浏览网站接收),该病毒将自身传播到 LAN 中所有可访问的计算机上,它将感染所有机器。端口隔离将防止这种情况发生。
ACL 更倾向于过滤从一个网络/VLAN 到另一个网络/VLAN 的内容,而不是在单个网络/VLAN 内部。