1、应用分析

在企业网络应用中，存在涉及各个部门、各个方面的数据，这些数据既有企业内外的区别，又有企业内部各部门之间的区别，往往需要在企业内外、内部各部门之间进行严格的数据控制。例如，企业内部很多数据和文件，都涉及企业内部机密，是不能让企业外部知道的，这就必须对企业外部进行严格的隔离；再如企业内部财务数据和业务数据，很多数据都需要向其它部门员工保密，而财务部网络又不可能和其它部门网络完全独立，否则无法完成相关数据的采集整理工作，因此要对这些数据进行业务隔离。在企业数据网络中，利用交换机构建起二层数据网络，通过交换机进行端口掩码配置，使企业同一网络的多个端口形成不同的隔离组相互隔开，这些隔离开端口要想互通必须通过上游设备进行，给不同的业务提供不同的隔离组，即可实现二层业务的隔离，提高企业数据的安全性。而利用交换机，仅需要通过简单的VLan划分，即可实现不同端口间的隔离，具有成本低性能好的优点，在企业网络安全中具有极高的可用性。

2、系统构建

2.1网络拓朴结构

本文以一小型企业为例，就利用端口隔离构建企业网络，提升企业网络安全进行浅要的探讨。该企业有PC机6台，服务器一台，PC机供各部门进行具体业务操作，服务器存储管理企业各方面数据。企业内网与外网之间通过防火墙与Internet相连，内部各部门计算机以及数据服务器通过交换机互联。其中，内部各部门计算机之间采用端口隔离技术进行分组，构建二层业务数据隔离结构。本文以H3C交换机为例实现端口隔离，系统网络拓朴结构示意图如图1所示:

2.2技术实现

利用H3C交换机来实现端口隔离，仅需通过三个步骤即可：第一步：进入系统视图；输入命令：System-view第二步：进入以太网端口视图；输入命令：InterfaceEthernet第三步：配置隔离组。输入命令：portisolate

2.3配置实例

以本文6台业务部门计算机端口隔离配置为例，相关代码如下：InterfaceEthernet1/0/1//PC-1连接的端口Portisolate//设置本端口为隔离端口QuitInterfaceEthernet1/0/2//PC-2连接的端口Portisolate//设置本端口为隔离端口QuitInterfaceEthernet1/0/3//PC-3连接的端口Portisolate//设置本端口为隔离端口QuitInterfaceEthernet1/0/4//PC-4连接的端口Portisolate//设置本端口为隔离端口QuitInterfaceEthernet1/0/5//PC-5连接的端口Portisolate//设置本端口为隔离端口QuitInterfaceEthernet1/0/6//PC-6连接的端口Portisolate//设置本端口为隔离端口QuitSave//保存配置至此，各业务部门计算机端口隔离配置工作完成。

2.4配置检测

在Dos工作窗口，输入以下命令，验证经端口隔离的业务计算机是否能ping通。如Pc-2的IP地址为：192.168.0.2，要验证其它计算机与PC-2能否ping通，在Dos工作窗口输入:Ping192.168.0.2如果得到以下结果，即表示隔离成功：Pinging192.168.0.2with32bytesoftata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfo192.168.0.2:Packets:sent=4,Received=0,Lost=4（100loss）,

3、结束语

利用交换机进行端口隔离，构建企业二级数据网络通信机制，对提高企业网络安全性有极大的帮助。在应用中，恰当的分组布局，能使不同分组的计算机之间形成相对独立的网络，以提高企业各部门数据的安全性，在保证必要数据传输交换的同时，避免不必要数据的泄露，同时也能提高企业内部网络与外部网络连接的安全性，具有极高的实用价值。

作者：谷安琪单位：中国运载火箭技术研究院