如何實(shí)現(xiàn)端口隔離

前言

如何對(duì)同一VLAN下用戶進(jìn)行隔離呢，如果實(shí)現(xiàn)部分VLAN互通、部分VLAN隔離呢，如何針對(duì)某個(gè)用戶、或某個(gè)網(wǎng)段用戶進(jìn)行隔離呢，下面就一一道來(lái) 。

場(chǎng)景一、同一VLAN下用戶進(jìn)行隔離

如果不希望同一VLAN下某些用戶進(jìn)行互通，可以通過配置端口隔離實(shí)現(xiàn)。

下面通過一個(gè)實(shí)驗(yàn)來(lái)詳細(xì)講解如何實(shí)現(xiàn)端口隔離：

如下圖所示，三臺(tái)PC屬于同一VLAN、同一網(wǎng)段，配置完成后，三臺(tái)PC都可以互訪，現(xiàn)在要求PC1和PC2之間不能互通，PC1和PC3能夠互通、PC2和PC3能夠互通。

配置過程如下：

驗(yàn)證配置結(jié)果：

PC1 ping PC2，無(wú)法ping通。

PC1 ping PC3，可以ping通。

OK！配置成功。

場(chǎng)景二、部分VLAN間可以互通、部分VLAN間隔離、VLAN內(nèi)用戶隔離――通過MUX VLAN實(shí)現(xiàn)

MUX VLAN只適用于二層網(wǎng)絡(luò)中、對(duì)同一網(wǎng)段的用戶進(jìn)行互通和隔離。

MUX VLAN分為Principal VLAN和Subordinate VLAN，Subordinate VLAN又分為Separate VLAN和Group VLAN。

Principal VLAN可以和所有VLAN互通。

Group VLAN可以和Principal VLAN和本VLAN內(nèi)互通。

Separate VLAN只能和Principal VLAN互通，本VLAN內(nèi)不能互通。

下面通過一個(gè)例子詳解介紹通過MUX VLAN進(jìn)行VLAN互通和隔離。如下圖所示，由于不同的PC屬于不同的部門，需要對(duì)用戶進(jìn)行互通和隔離。

要求所有PC都可以訪問服務(wù)器（Server），即VLAN20和VLAN30可以訪問VLAN10。

PC1和PC2之間可以互訪，和PC3、PC4不能互訪，即VLAN20和VLAN30不能互訪。

PC3和PC4之間隔離，不能互訪，即VLAN30內(nèi)用戶不能互訪。

詳細(xì)配置步驟如下：

OK，配置完成，讓我們來(lái)驗(yàn)證一下配置結(jié)果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

PC3 ping Server

所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

PC1 ping PC3

Separate VLAN的PC隔離，不能互通。

PC3 ping PC4

場(chǎng)景三：不同VLAN互通后，如何對(duì)部分VLAN或部分用戶進(jìn)行隔離――通過流策略實(shí)現(xiàn)

流策略技術(shù)原理，就不做過多介紹了，想了解詳細(xì)信息，請(qǐng)參見QoS手冊(cè)，通過下面的例子介紹如何實(shí)現(xiàn)VLAN隔離。

如上圖所示，F(xiàn)TP Server屬于192.168.1.0/24網(wǎng)段，PC1和PC2屬于192.168.10.0/24，PC3和PC4屬于192.168.20.0/24網(wǎng)段。

假設(shè)所有VLAN已經(jīng)通過VLANIF接口實(shí)現(xiàn)VLAN間互通，詳細(xì)配置方法不做贅述。

將FTP Server的網(wǎng)關(guān)設(shè)置為192.168.1.1，將PC1和PC2的網(wǎng)關(guān)設(shè)置為192.168.10.1，將PC3和PC4的網(wǎng)關(guān)設(shè)置為192.168.20.1。VLAN10、VLAN20和VLAN100內(nèi)所有設(shè)備能夠互通，例如：在PC1上ping FTP Server，能夠ping通。

現(xiàn)在要求PC3和PC4所在網(wǎng)段設(shè)備能夠訪問FTP Server，PC1和PC2所在網(wǎng)段設(shè)備禁止訪問FTP Server。

在SwitchA上配置ACL和流策略進(jìn)行隔離，192.168.10.0/24網(wǎng)段的設(shè)備禁止訪問FTP Server，詳細(xì)配置步驟如下：

配置完之后，我們?cè)賮?lái)驗(yàn)證一下PC1是否能夠ping通FTP Server呢？

但是PC3任然可以ping同F(xiàn)TP Server。

OK，配置成功，大功告成。

PS：通過ACL和流策略對(duì)VLAN進(jìn)行隔離，是一種非常靈活的方式，也可以對(duì)單個(gè)用戶進(jìn)行隔離，ACL只要匹配單個(gè)用戶的IP即可。