小编在上期为大家介绍了多种VLAN互通场景和方式,之后读者又有了新的问题:如何对同一VLAN下用户进行隔离呢,如果实现部分VLAN互通、部分VLAN隔离呢,如何针对某个用户、或某个网段用户进行隔离呢,下面就听小编一一道来 。
场景一、同一VLAN下用户进行隔离
如果不希望同一VLAN下某些用户进行互通,可以通过配置端口隔离实现。
下面小编通过一个实验来详细讲解如何实现端口隔离:
如下图所示,三台PC属于同一VLAN、同一网段,配置完成后,三台PC都可以互访,现在要求PC1和PC2之间不能互通,PC1和PC3能够互通、PC2和PC3能够互通。
配置过程如下:
验证配置结果:
PC1 ping PC2,无法ping通。
PC1 ping PC3,可以ping通。
OK!配置成功。
场景二、部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离——通过MUX VLAN实现
MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。
l Principal VLAN可以和所有VLAN互通。
l Group VLAN可以和Principal VLAN和本VLAN内互通。
l Separate VLAN只能和Principal VLAN互通,本VLAN内不能互通。
下面小编通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示,由于不同的PC属于不同的部门,需要对用户进行互通和隔离。
l 要求所有PC都可以访问服务器(Server),即VLAN20和VLAN30可以访问VLAN10。
l PC1和PC2之间可以互访,和PC3、PC4不能互访,即VLAN20和VLAN30不能互访。
l PC3和PC4之间隔离,不能互访,即VLAN30内用户不能互访。
详细配置步骤如下:
OK,配置完成,让我们来验证一下配置结果吧。
Ø 所有PC都可以和Principal VLAN中的Server互通。
PC1 ping Server
PC3 ping Server
Ø 所有Group VLAN中的PC可以互通,但是不可以和Separate VLAN中的PC互通。
PC1 ping PC2
PC1 ping PC3
Ø Separate VLAN的PC隔离,不能互通。
PC3 ping PC4
场景三:不同VLAN互通后,如何对部分VLAN或部分用户进行隔离——通过流策略实现
流策略技术原理,小编就不做过多介绍了,想了解详细信息,请参见QoS手册,通过下面的例子介绍如何实现VLAN隔离。
如上图所示,FTP Server属于192.168.1.0/24网段,PC1和PC2属于192.168.10.0/24,PC3和PC4属于192.168.20.0/24网段。
假设所有VLAN已经通过VLANIF接口实现VLAN间互通,详细配置方法不做赘述,请参加上期《交换机在江湖之初窥门径-VLAN通信篇》。
将FTP Server的网关设置为192.168.1.1,将PC1和PC2的网关设置为192.168.10.1,将PC2和PC4的网关设置为192.168.20.1。VLAN10、VLAN20和VLAN100内所有设备能够互通,例如:在PC1上ping FTP Server,能够ping通。
现在要求PC3和PC4所在网段设备能够访问FTP Server,PC1和PC2所在网段设备禁止访问FTP Server。
在SwitchA上配置ACL和流策略进行隔离,192.168.10.0/24网段的设备禁止访问FTP Server,详细配置步骤如下:
配置完之后,我们再来验证一下PC1是否能够ping通FTP Server呢?
但是PC3任然可以ping同FTP Server。
OK,配置成功,大功告成。
PS:通过ACL和流策略对VLAN进行隔离,是一种非常灵活的方式,也可以对单个用户进行隔离,ACL只要匹配单个用户的IP即可。
经过四期的介绍,我们的VLAN技术介绍也告一段落。如果想要了解其他划分VLAN方式的配置方法,请猛戳我:交换机在江湖汇总贴 。
