VLAN 隔离

时间：2018-09-18 17:05:34 阅读：159 评论：0 收藏：0 [点我收藏+]

基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标

                                                            vlan隔离分类

1：同一设备同一用户实现方式：端口隔离
2：部分VLAN间互通，VLAN间隔离，vlan间内用户隔离实现方式：mux vlan
3：vlan间三层通信，需要禁止部分用户互访实现方式：流策略

1端口隔离范例：

技术分享图片
配置命令：
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1

2MUX VLAN

配置案例
技术分享图片
配置命令：
vlan batch 2 3 4
#
vlan 2
mux-vlan 指定vlan2 为principal vlan
subordinate separate 4 指定vlan4 为separate vlan
subordinate group 3 指定vlan3 为group vlan
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port mux-vlan enable
其他接口以此类推不在复述

基于流策略的vlan隔离

技术分享图片

acl number 3000
rule 5 deny ip destination 10.1.2.0 0.0.0.255
rule 10 deny ip destination 10.1.3.0 0.0.0.255
#
acl number 3001
rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
rule 10 permit tcp destination 10.1.3.2 0 destination-port eq ftp
rule 15 deny ip destination 10.1.3.0 0.0.0.255
#
traffic classifier 1_q operator and
if-match acl 3000
traffic classifier 2_q operator and
if-match acl 3001
#
traffic behavior b1
permit
#
traffic policy 1_2_q
classifier 2_q behavior b1
traffic policy b_1_Q
classifier 1_q behavior b1
#
vlan 10
traffic-policy 1_2_q inbound
#
vlan 20
traffic-policy b_1_Q inbound

VLAN 隔离

原文：http://blog.51cto.com/11477309/2176691

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)