华为VLAN隔离篇

1、.【交换机在江湖之初窥门径】VLAN隔离篇小编在上期为大家介绍了多种VLAN互通场景和方式，之后读者又有了新的问题：如何对同一 VLAN下用户进行隔离呢，如果实现部分VLAN互通、部分VLAN隔离呢，如何针对某个用户、或某个网段用户进行隔离呢，下面就听小编一一道来。场景一、同一 VLAN下用户进行隔离如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。下面小编通过一个实验来详细讲解如何实现端口隔离：如下图所示，三台 PC属于同一 VLAN、同一网段，配置完成后，三台 PC都可以互访，现在要求 PC1和 PC2之间不能互通， PC1和 PC3能够互通、 PC2和 PC3能够互通。

2、配置过程如下：验证配置结果：PC1 ping PC2 ，无法 ping 通。.PC1 ping PC3 ，可以 ping 通。OK！配置成功。场景二、部分 VLAN间可以互通、 部分 VLAN间隔离、 VLAN内用户隔离通过MUX VLAN实现MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。MUXVLAN分为 PrincipalVLAN和 SubordinateVLAN，SubordinateVLAN又分为 Separate VLAN和 Group VLAN。可以和所有VLAN互通。可以和 Principal VLAN和本 VLAN内互通。只能和 Principal VLA

3、N互通，本VLAN内不能互通。下面小编通过一个例子详解介绍通过 MUXVLAN进行 VLAN互通和隔离。如下图所示，由于不同的 PC属于不同的部门，需要对用户进行互通和隔离。要求所有 PC都可以访问服务器（Server ），即 VLAN20和 VLAN3可以访问VLAN10。和 PC2之间可以互访，和 PC3、PC4不能互访，即 VLAN20和 VLAN30不能互访。和 PC4之间隔离，不能互访，即 VLAN30内用户不能互访。.详细配置步骤如下：.OK，配置完成，让我们来验证一下配置结果吧。所有 PC都可以和 Principal VLAN中的 Server 互通 。PC1 ping Serv

4、er.PC3 ping Server所有 Group VLAN 中的 PC可以互通，但是不可以和Separate VLAN 中的 PC互通 。PC1 ping PC2PC1 ping PC3Separate VLAN 的 PC隔离，不能互通。PC3 ping PC4.场景三：不同 VLAN互通后，如何对部分VLAN或部分用户进行隔离通过流策略实现流策略技术原理，小编就不做过多介绍了，想了解详细信息，请参见 QoS手册，通过下面的例子介绍如何实现VLAN隔离。如上图所示， FTP Server 属于 /24 网段， PC1和 PC2数属于 /24 ，

5、PC3和 PC4属于 /24 网段。.假设所有 VLAN已经通过 VLANIF接口实现 VLAN间互通，详细配置方法不做赘述，请参加上期交换机在江湖之初窥门径 -VLAN 通信篇。将 FTP Server 的网关设置为 ，将 PC1和 PC2的网关设置为 ，将PC2和 PC4的网关设置为 。VLAN10、VLAN20和 VLAN100内所有设备能够互通，例如：在 PC1上 ping FTP Server ，能够 ping 通。现在要求 PC1和 PC2所在网段设备能够访问 FTP Server ，PC3和 PC4所在网段设备禁止访问 FTP Server 。在 SwitchA 上配置 ACL和流策略进行隔离， /24 网段的设备禁止访问 FTP Server ，详细配置步骤如下：配置完之后，我们再来验证一下PC1是否能够ping 通 FTP Server 呢？但是 PC3任然可以ping 同 FTP Serv