Publicado originalmente em 2 DE FEVEREIRO DE 2010
O comando port isolate permite isolarmos as portas do Switch dentro de um grupo impossibilitando a comunicação dos dispositivos pertencentes ao grupo de uma maneira fácil e prática. A comunicação das interfaces do Switch com port isolate ocorrerá somente com as portas que não possuem o comando aplicado.
Ex: Em um dos projetos, o cliente efetuou a seguinte solicitação:
“Precisamos configurar um Switch 3Com 5500 para que as portas FastEthernet1/0/19 e FastEthernet1/0/20 não comuniquem entre si, mas a comunicação com a Internet está liberada para acesso pela porta GigabitEthernet 1/0/25. ..”
Configuração
<Switch>system-view [Switch]interface ethernet1/0/19 [Switch-Ethernet1/0/19]port isolate [Switch-Ethernet1/0/19]quit [Switch]interface ethernet1/0/20 [Switch-Ethernet1/0/20]port isolate [Switch-Ethernet1/0/20]quit
- A comunicação entre as máquinas 192.168.1.20 e 192.168.1.25 não será permitida.
- A comunicação dos hosts com a Internet não será bloqueado.
- Alguns Switches da linha H3C podem ter a variação do comando para port-isolate enable
Se conectarmos mais uma máquina ao Switch e não configurarmos a porta do Switch com o port isolate, a comunicação com todas os dispositivos da rede ocorrerá normalmente!
Observações:
A feature port isolate funciona localmente no Switch em Camada 2 e Camada 3.
Bom artigo. Mas, teria como fazer as fastethernet 1/0/10 e 1/0/11, trabalharem isoladas. Pois imagine que a 1/0/10 recebe un Wireless Público, e não quero ter vinculo com minha rede local ou outras vlan. Na porta 1/0/11 tenho conectado um firewall, que recebera todo o trafego proveniente da 1/0/10. Seria utilizando o port-isolate ou seria outra ideia, envolvendo ACL?
Luiz, eu imagino que exista mais de uma forma de construir essa topologia. Depende muito dos equipamentos que você possui, o ideal seria segmentar a rede wireless desse cenário em um segmento diferente no Firewall. Se não for possível, pode-se usar ACL’s.
Tenho dúvida semelhante a do Luiz. Tenho um 3com 5500 com várias VLANs configuradas, e a maioria das portas em uso. Em uma dessas portas, digamos que seja a 1/0/X tenho espetado um controlador wireless, e em uma porta 1/0/Y tenho meu gateway/firewall de saída para a internet. Porém, não quero que a minha rede sem fio possa se comunicar diretamente com as outras VLANs/Portas, quero isolar ela para que ela obrigatoriamente saia pelo meu gateway (que também é firewall), e se quiser acessar um computador de qualquer outra VLAN ela tenha que sair da minha rede e entrar novamente, ai sujeita as regras do meu firewall. Como faço isso? Se eu der apenas um “isolate” na porta 1/0/X (wireless) eu evito isso, ou estarei bloqueando também a saída dele pela porta 1/0/Y, que é meu gateway/firewall de saída de internet? Obs.: No 3com 5500 o default route dele é o meu gateway/firewall, especificado pelo IP dessa máquina.
Abraço!!