前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >【干货】一文看懂VLAN 隔离的妙用

【干货】一文看懂VLAN 隔离的妙用

作者头像
释然
发布2022-10-27 19:31:21
1.9K0
发布2022-10-27 19:31:21
举报
文章被收录于专栏:释然IT杂谈释然IT杂谈

内容参考:华为文档 实验复现:释然IT杂谈 文案排版:释然IT杂谈 (转载保持格式哦)

一、前言:

如何对同一VLAN下用户进行隔离呢,如果实现部分VLAN互通、部分VLAN隔离呢,如何针对某个用户、或某个网段用户进行隔离呢,下面就一一道来 。

二、同一VLAN下用户进行隔离:

如果不希望同一VLAN下某些用户进行互通,可以通过配置端口隔离实现。

下面通过一个实验来详细讲解如何实现端口隔离:

如下图所示,三台PC属于同一VLAN、同一网段,配置完成后,三台PC都可以互访,现在要求PC1和PC2之间不能互通,PC1和PC3能够互通、PC2和PC3能够互通。

配置过程如下:

代码语言:javascript
复制
<Huawei>sys
[Huawei]vlan 10
[Huawei-vlan10]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]port-isolate enable 
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/2]port-isolate enable
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 10
#公众号:释然IT杂谈

验证配置结果:

PC1 ping PC2,无法ping通。

PC1 ping PC3,可以ping通。

PC2 ping PC3,也可以ping通。

OK!配置成功。

三、MUX VLAN进行隔离:

部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离――通过MUX VLAN实现,MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。

MUX VLAN分为Principal VLANSubordinate VLAN,Subordinate VLAN又分为Separate VLANGroup VLAN

  • Principal VLAN可以和所有VLAN互通。
  • Group VLAN可以和Principal VLAN和本VLAN内互通。
  • Separate VLAN只能和Principal VLAN互通,本VLAN内不能互通。

下面通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示,由于不同的PC属于不同的部门,需要对用户进行互通和隔离。

  1. 要求所有PC都可以访问服务器(Server),即VLAN20和VLAN30可以访问VLAN10。
  2. PC1和PC2之间可以互访,和PC3、PC4不能互访,即VLAN20和VLAN30不能互访。
  3. PC3和PC4之间隔离,不能互访,即VLAN30内用户不能互访。

详细配置步骤如下:

1、创建VLAN 10、20、30

代码语言:javascript
复制
[Huawei]vlan batch 10 20 30

2、将VLAN 10配置为Principal VLAN,将VLAN20配置为Group VLAN ,将VLAN 30配置为Separate VLAN

代码语言:javascript
复制
[Huawei]vlan 10
[Huawei-vlan10]mux-vlan
[Huawei-vlan10]subordinate group 20
[Huawei-vlan10]subordinate separate 30
[Huawei-vlan10]quit

3.将Server的G0/0/5口假如Principal Vlan 10 ,并开启MUX VLAN功能

代码语言:javascript
复制
[Huawei]interface GigabitEthernet 0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type access
[Huawei-GigabitEthernet0/0/5]port default vlan 10 
[Huawei-GigabitEthernet0/0/5]port mux-vlan enable  ##V200R003C00及之前版本不需要指定VLAN,即命令port mux-vlan enable
#公众号:释然IT杂谈

4.将pc1和pc2加入Group VLAN 20 ,并启用MUX VLAN 将PC3和PC4加入Separate VLAN 30

代码语言:javascript
复制
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 20
[Huawei-GigabitEthernet0/0/1]port mux-vlan enable
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]port mux-vlan enable 
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 30
[Huawei-GigabitEthernet0/0/3]port mux-vlan enable   
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]interface GigabitEthernet 0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 30
[Huawei-GigabitEthernet0/0/4]port mux-vlan enable 
[Huawei-GigabitEthernet0/0/4]quit
[Huawei]
#公众号:释然IT杂谈

OK,配置完成,让我们来验证一下配置结果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

PC3 ping Server

所有Group VLAN中的PC可以互通,但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

PC1 ping PC3

Separate VLAN的PC隔离,不能互通。

PC3 ping PC4

四、通过流策略进行隔离:

不同VLAN互通后,如何对部分VLAN或部分用户进行隔离――通过流策略实现,流策略技术原理,就不做过多介绍了,想了解详细信息,请参见QoS手册,通过下面的例子介绍如何实现VLAN隔离。

如上图所示,Server属于192.168.3.0/24网段,PC1和PC2属于192.168.1.0/24,PC3和PC4属于192.168.2.0/24网段。

假设所有VLAN已经通过VLANIF接口实现VLAN间互通,详细配置方法不做赘述。

将 Server的网关设置为192.168.3.1,将PC1和PC2的网关设置为192.168.1.1,将PC2和PC4的网关设置为192.168.2.1。VLAN10、VLAN20和VLAN100内所有设备能够互通,例如:在PC1上ping Server,能够ping通。

现在要求PC3和PC4所在网段设备能够访问 Server,PC1和PC2所在网段设备禁止访问 Server。

在LSW1上配置ACL和流策略进行隔离,192.168.1.0/24网段的设备禁止访问Server,详细配置步骤如下:

1.配置基本ACl 2000对PC1和PC2所在的网段进行过滤

代码语言:javascript
复制
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]quit
#公众号:释然IT杂谈

2.配置流分类c1,匹配ACL2000

代码语言:javascript
复制
[Huawei]traffic classifier c1
[Huawei-classifier-c1]if-match acl 2000
[Huawei-classifier-c1]quit
#公众号:释然IT杂谈

3.配置流行为b1,动作为deny,匹配到源地址为192.168.1.0网段的报文,则禁止通过

代码语言:javascript
复制
[Huawei]traffic behavior b1
[Huawei-behavior-b1]deny
[Huawei-behavior-b1]quit
#公众号:释然IT杂谈

4.配置流策略p1,将流分类和流行为关联

代码语言:javascript
复制
[Huawei]traffic policy p1
[Huawei-trafficpolicy-p1]classifier c1 behavior b1
[Huawei-trafficpolicy-p1]quit
#公众号:释然IT杂谈

5.在LSW1上的G0/0/3接口的出方向应用流策略p1

代码语言:javascript
复制
[Huawei]interface  GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]traffic-policy p1 outbound 
[Huawei-GigabitEthernet0/0/3]quit
#公众号:释然IT杂谈

配置完之后,我们再来验证一下PC1是否能够ping通 Server呢?

但是PC3任然可以ping同Server。

OK,配置成功,大功告成。

PS:通过ACL和流策略对VLAN进行隔离,是一种非常灵活的方式,也可以对单个用户进行隔离,ACL只要匹配单个用户的IP即可。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-06-03,如有侵权请联系 cloudcommunity@tencent.com 删除
网络安全

本文分享自 释然IT杂谈 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

网络安全
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 不同VLAN互通后,如何对部分VLAN或部分用户进行隔离――通过流策略实现,流策略技术原理,就不做过多介绍了,想了解详细信息,请参见QoS手册,通过下面的例子介绍如何实现VLAN隔离。
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论