華為VLAN隔離篇

1、.【交換機在江湖之初窺門徑】VLAN隔離篇小編在上期為大家介紹了多種VLAN互通場景和方式，之后讀者又有了新的問題：如何對同一 VLAN下用戶進行隔離呢，如果實現(xiàn)部分VLAN互通、部分VLAN隔離呢，如何針對某個用戶、或某個網(wǎng)段用戶進行隔離呢，下面就聽小編一一道來。場景一、同一 VLAN下用戶進行隔離如果不希望同一VLAN下某些用戶進行互通，可以通過配置端口隔離實現(xiàn)。下面小編通過一個實驗來詳細講解如何實現(xiàn)端口隔離：如下圖所示，三臺 PC屬于同一 VLAN、同一網(wǎng)段，配置完成后，三臺 PC都可以互訪，現(xiàn)在要求 PC1和 PC2之間不能互通， PC1和 PC3能夠互通、 PC2和 PC3能夠互通。

2、配置過程如下：驗證配置結(jié)果：PC1 ping PC2 ，無法 ping 通。.PC1 ping PC3 ，可以 ping 通。OK！配置成功。場景二、部分 VLAN間可以互通、 部分 VLAN間隔離、 VLAN內(nèi)用戶隔離通過MUX VLAN實現(xiàn)MUX VLAN只適用于二層網(wǎng)絡(luò)中、對同一網(wǎng)段的用戶進行互通和隔離。MUXVLAN分為 PrincipalVLAN和 SubordinateVLAN，SubordinateVLAN又分為 Separate VLAN和 Group VLAN?？梢院退蠽LAN互通?？梢院?Principal VLAN和本 VLAN內(nèi)互通。只能和 Principal VLA

3、N互通，本VLAN內(nèi)不能互通。下面小編通過一個例子詳解介紹通過 MUXVLAN進行 VLAN互通和隔離。如下圖所示，由于不同的 PC屬于不同的部門，需要對用戶進行互通和隔離。要求所有 PC都可以訪問服務(wù)器（Server ），即 VLAN20和 VLAN3可以訪問VLAN10。和 PC2之間可以互訪，和 PC3、PC4不能互訪，即 VLAN20和 VLAN30不能互訪。和 PC4之間隔離，不能互訪，即 VLAN30內(nèi)用戶不能互訪。.詳細配置步驟如下：.OK，配置完成，讓我們來驗證一下配置結(jié)果吧。所有 PC都可以和 Principal VLAN中的 Server 互通 。PC1 ping Serv

4、er.PC3 ping Server所有 Group VLAN 中的 PC可以互通，但是不可以和Separate VLAN 中的 PC互通 。PC1 ping PC2PC1 ping PC3Separate VLAN 的 PC隔離，不能互通。PC3 ping PC4.場景三：不同 VLAN互通后，如何對部分VLAN或部分用戶進行隔離通過流策略實現(xiàn)流策略技術(shù)原理，小編就不做過多介紹了，想了解詳細信息，請參見 QoS手冊，通過下面的例子介紹如何實現(xiàn)VLAN隔離。如上圖所示， FTP Server 屬于 /24 網(wǎng)段， PC1和 PC2數(shù)屬于 /24 ，

5、PC3和 PC4屬于 /24 網(wǎng)段。.假設(shè)所有 VLAN已經(jīng)通過 VLANIF接口實現(xiàn) VLAN間互通，詳細配置方法不做贅述，請參加上期交換機在江湖之初窺門徑 -VLAN 通信篇。將 FTP Server 的網(wǎng)關(guān)設(shè)置為 ，將 PC1和 PC2的網(wǎng)關(guān)設(shè)置為 ，將PC2和 PC4的網(wǎng)關(guān)設(shè)置為 。VLAN10、VLAN20和 VLAN100內(nèi)所有設(shè)備能夠互通，例如：在 PC1上 ping FTP Server ，能夠 ping 通?，F(xiàn)在要求 PC1和 PC2所在網(wǎng)段設(shè)備能夠訪問 FTP Server ，PC3和 PC4所在網(wǎng)段設(shè)備禁止訪問 FTP Server 。在 SwitchA 上配置 ACL和流策略進行隔離， /24 網(wǎng)段的設(shè)備禁止訪問 FTP Server ，詳細配置步驟如下：配置完之后，我們再來驗證一下PC1是否能夠ping 通 FTP Server 呢？但是 PC3任然可以ping 同 FTP Serv