技巧 | 隔离很重要，这些隔离设置和应用你还不会吗？

在计算机网络系统中，隔离的思想代表着如何正确的进行网络规划和管理。对于常见的中小型网络，如餐厅、酒店、企业、工厂等，如果只是建设成一个互联互通的大型局域网，那么这个网络系统在后续的应用和管理维护过程中，出现故障的概率非常高。

而一个大型局域网内数十及数百终端之间完全不做规划和隔离，极易出现ARP欺骗、IP地址冲突、网关冲突、大面积中毒等技术问题，引发网络掉线、全网瘫痪和安全风险（如机密文件泄漏等）。

综上所述，忽视网络规划和管理往往会导致网络故障和网络安全问题发生。TP小商这就为大家讲解一下哪些情况下需要进行网络隔离，应该怎么配置？

一起来学习吧~

常见的隔离方式

端口隔离：在管理型交换机中设置端口隔离，实现每个端口可以访问的目的端口；在非管理型交换机中，模式开关拨到“VLAN隔离”，实现每个端口只能访问上联端口。

VLAN隔离：通过设置VLAN，可以将网络划分为几个小型网络；可以将交换机、AC、AP等设备划分到管理VLAN，终端划分到业务VLAN，进行管理与业务隔离。

无线内部隔离：TP-LINK路由器和AC均支持设置无线网络内部隔离功能。启用后，终端之间将无法互访，确保无线终端互不影响。

SSID间隔离：针对员工网络、访客网络等分别设置SSID，绑定不同的VLAN，设置不同的上网权限和内部网络访问权限，保障内网安全。

应用场景

场景1  

  交换机下设备仅能与上联服务器通信，彼此之间不允许访问

为了保证网络主机彼此上网互不影响，仅允许和上联网关及服务器进行通信。针对此需求，可通过以下两种方式实现。 

配置交换机端口隔离

网管交换机上进行配置，上联口连接服务器和网关，其它端口均能访问该端口；非网管交换机拨码到“VLAN模式”，服务器和网关连接Uplink接口，实现每个端口只能访问上联端口。

配置网管交换机VLAN隔离

对交换机端口进行规划，上联口透传所有业务VLAN连接服务器和网关，下联口分别规划不同的VLAN连接用户主机，实现下联口仅能与上联口互访的需求。

场景2  

  无线组网保证用户终端之间互不影响，避免非法DHCP、ARP攻击，优化无线上网体验

无线局域网中设备之间都能收到彼此的组播/广播报文，可能会对无线体验产生一定的影响。另外开放的无线网络环境容易受到非法接入设备的影响，如接入了非法DHCP或恶意客户端进行ARP攻击，导致其它合法终端上网异常。针对此场景，可通过以下方式解决。

配置AP无线内部隔离

TP-LINK无线AC和路由器，均支持设置无线网络内部隔离功能。启用无线网络内部隔离功能后，终端之间的互访将会被禁止。终端A上存在的风险比如自身是非法DHCP、病毒携带、ARP攻击等只会影响到终端A自身，而不会影响终端B、C、D等。同时能排除无线终端间的影响，保证上网体验。

配置SSID间隔离

针对不同的SSID业务网络做VLAN划分（如访客、员工网络属于不同VLAN），设置不同的上网权限和内部网络访问权限，非法设备接入某个VLAN时不会影响到其它业务VLAN正常运行，并能定位故障范围，实现精确排障，保障内网安全和上网体验。

场景3  

  智能设备、监控设备等接入网络的场景，防止广播/组播量过大消耗无线性能

由于无线通信带宽共享，现网接入的智能家居、监控设备等数量过多，可能由于设备自身机制会产生大量的广播/组播，就会对信道资源占用时间长（信道繁忙），导致无线网络性能急剧下降，上网体验变差。而有线网络中，任何端口都有独享的百兆或千兆带宽，所以一定量的广播包对有线网络影响不大。

针对此场景问题，需要配置端口隔离、VLAN隔离、无线内部隔离、SSID隔离一套组合拳有效减小网络中广播/组播所带来的影响。通过VLAN隔离、SSID隔离将网络划分多个子网，消除子网之间组播/广播的相互影响。同一个子网内部，可以通过交换机的端口隔离、无线AP的内部网络隔离等实现终端间的不可互访，降低内部互相影响的风险。

场景4  

  中大型网络不同部门之间业务隔离，实现不同部门互访、数据安全交互

以一个典型的企业网络拓扑来说，最根本的访问需求是这样的：

访问需求：

所有人员都有一定的访问互联网需求；

内部文件中转、办公系统等访问公司的服务器；

打印文件，通过网络访问打印机远程打印；

部门与部门、个人与个人之间的交流通过微信，邮件等方式。

配置VLAN隔离、SSID隔离实现三层网络

对于中大型网络场景，需要选择核心交换作为多接口网关，针对不同部门划分不同的VLAN和对应接口。通过802.1Q VLAN将AP管理流和终端上网的无线业务流分离，同一个AP可划分不同SSID绑定不同VLAN，并可结合ACL规则允许/限制部门之间的互访需求。