Switches 3Com 5500 – Port Isolate – Como isolar os hosts de um Switch (na mesma VLAN)? Sem ACL!!!

Publicado originalmente em  2 DE FEVEREIRO DE 2010

O comando port isolate permite isolarmos as portas do Switch dentro de um grupo impossibilitando a comunicação dos dispositivos pertencentes ao grupo de uma maneira fácil e prática. A comunicação das interfaces do Switch com port isolate ocorrerá somente com as portas que não possuem o comando aplicado.

Ex: Em um dos projetos, o cliente efetuou a seguinte solicitação:

“Precisamos configurar um Switch 3Com 5500 para que as portas FastEthernet1/0/19 e FastEthernet1/0/20 não comuniquem entre si, mas a comunicação com a Internet está liberada para acesso pela porta GigabitEthernet 1/0/25. ..”

 

Configuração

<Switch>system-view
[Switch]interface ethernet1/0/19
[Switch-Ethernet1/0/19]port isolate
[Switch-Ethernet1/0/19]quit
[Switch]interface ethernet1/0/20
[Switch-Ethernet1/0/20]port isolate
[Switch-Ethernet1/0/20]quit
  • A comunicação entre as máquinas 192.168.1.20 e 192.168.1.25 não será permitida.
  • A comunicação dos hosts com a Internet não será bloqueado.
  • Alguns Switches da linha H3C podem ter a variação do comando para port-isolate enable

Se conectarmos mais uma máquina ao Switch e não configurarmos a porta do Switch com o port isolate, a comunicação com todas os dispositivos da rede ocorrerá normalmente!

Observações:

A feature port isolate funciona localmente no Switch em Camada 2 e Camada 3.

 

 

 

3 thoughts on “Switches 3Com 5500 – Port Isolate – Como isolar os hosts de um Switch (na mesma VLAN)? Sem ACL!!!

  1. Luiz Le-Fort 11 de abril de 2012 / 19:22

    Bom artigo. Mas, teria como fazer as fastethernet 1/0/10 e 1/0/11, trabalharem isoladas. Pois imagine que a 1/0/10 recebe un Wireless Público, e não quero ter vinculo com minha rede local ou outras vlan. Na porta 1/0/11 tenho conectado um firewall, que recebera todo o trafego proveniente da 1/0/10. Seria utilizando o port-isolate ou seria outra ideia, envolvendo ACL?

    • Diego Dias 13 de abril de 2012 / 19:03

      Luiz, eu imagino que exista mais de uma forma de construir essa topologia. Depende muito dos equipamentos que você possui, o ideal seria segmentar a rede wireless desse cenário em um segmento diferente no Firewall. Se não for possível, pode-se usar ACL’s.

  2. Paulo 13 de março de 2013 / 13:43

    Tenho dúvida semelhante a do Luiz. Tenho um 3com 5500 com várias VLANs configuradas, e a maioria das portas em uso. Em uma dessas portas, digamos que seja a 1/0/X tenho espetado um controlador wireless, e em uma porta 1/0/Y tenho meu gateway/firewall de saída para a internet. Porém, não quero que a minha rede sem fio possa se comunicar diretamente com as outras VLANs/Portas, quero isolar ela para que ela obrigatoriamente saia pelo meu gateway (que também é firewall), e se quiser acessar um computador de qualquer outra VLAN ela tenha que sair da minha rede e entrar novamente, ai sujeita as regras do meu firewall. Como faço isso? Se eu der apenas um “isolate” na porta 1/0/X (wireless) eu evito isso, ou estarei bloqueando também a saída dele pela porta 1/0/Y, que é meu gateway/firewall de saída de internet? Obs.: No 3com 5500 o default route dele é o meu gateway/firewall, especificado pelo IP dessa máquina.

    Abraço!!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *