VLAN隔离
一、场景及实现方式
| 场景 | 实现方式 |
| 同一设备下挂的用户属于同一VLNA,需要禁止某些用户互访 | 端口隔离 |
| 设备下挂许多用户,需要:1、部分VLAN间可以互通 2、部分VLAN间隔离 3、VLAN 内用户隔离 | MUX VLAN |
| VLAN间三层互通后,需要禁止部分用户互访或者只允许用户单项访问 | 流策略 |
二、端口隔离
同一VLAN内端口之间的隔离
如果不希望同一VLAN下某些用户进行互通,可以通过配置端口隔离实现。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。
1、配置案例
场景
PC1与PC2在VLAN1内不能互相访问,PC3与PC1、PC2之间可以互相访问
端口隔离配置
interface GigabitEthernet0/0/1 port link-type access port-isolate enable group 1 interface GigabitEthernet0/0/2 port link-type access port-isolate enable group 1
PC1pingPC2和PC3,PC2不通、PC3能通。
PC2pingPC1和PC3,PC1不通、PC3能通。
PC3pingPC1和PC2,PC1、PC2能通。
三、MUX VLAN:Multiplex VLAN
VLAN间互通、VLAN间隔离、VLAN内隔离
- 一种通过VLAN进行网络资源控制的机制。
- 只适用于二层网络中、对同一网段的用户进行互通和隔离。
- 实现处于相同网段的设备划入不同VLAN后,可以和指定VLAN通信,可以实现禁止相同VLAN内的不同设备间的通信。
- 即可以同时实现VLAN间互通、VLAN间隔离、VLAN内隔离
- 对应思科技术:Private VLAN
1、配置案例
场景
- 所有用户都能访问Server
- PC1和PC2可以互访,和PC3、PC4不能互访
PC3和PC4之间隔离,不能互访
基础配置
PC1、PC2、PC3、PC4、Server
MUX-VLAN配置
vlan batch 2 3 4 #创建VLAN vlan 2 #进入VLAN mux-vlan #配置主VLAN subordinate separate 4 #配置互通型从VLAN subordinate group 3 #配置隔离型从VLAN interface GigabitEthernet0/0/1 port link-type access port default vlan 2 port mux-vlan enable #开启Mux-VLAN功能 interface GigabitEthernet0/0/2 port link-type access port default vlan 3 port mux-vlan enable interface GigabitEthernet0/0/3 port link-type access port default vlan 3 port mux-vlan enable interface GigabitEthernet0/0/4 port link-type access port default vlan 4 port mux-vlan enable interface GigabitEthernet0/0/5 port link-type access port default vlan 4 port mux-vlan enable
验证
四、MQC-流策略
不同VLAN互通后对部分VLAN或部分用户进行隔离
MQC:Modular QoS Command-Line Interface,模块化QoS命令行
- 一种强大的配置方法。
- 指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务的配置方法。
- “模块化”的最大优点是可以节省配置,支持批量修改。
1、MQC三要素
流分类、流行为、流策略
| 术语 | 备注 |
| 流分类Traffic Classifier | 定义一组流量匹配规则,以对报文进行分类 |
| 流行为Traffic Behavior | 定义针对某类报文所做的动作,例如报文过滤、流量监管、重标记、流量限速、流量统计等 |
| 流策略 | |
| Traffic Policy | 将指定的流分类和流行为绑定,对分类后的报文执行对应流行为中定义的动作 |
2、流策略在VLAN中应用
- VLAN内二层隔离:VLAN内用户能够自由隔离(即任意用户间的单、双向隔离)
- VLAN间三层隔离:禁止部分用户互访或者只允许用户单向访问
3、MQC配置流程
- 配置流分类:按照一定规则对报文进行分类,是提供差分服务的基础。
- 配置流行为:为符合流分类规则的报文指定流量控制或资源分配动作。
- 配置流策略:将指定的流分类和指定的流行为绑定,形成完整的策略。
- 应用流策略:将流策略应用到全局、接口、VLAN。
4、配置案例
场景
- 访客只能访问Internet,不能与其他任何VLAN的用户通信。
- 员工A可以访问服务器区的所以资源,但其他员工只能访问服务器A的21端口(FTP服务)。
基础配置
访客A
员工A
员工B
服务器A
SW1
sy sy SW1 vlan b 10 20 30 100 int g0/0/1 p l t p t a v all int g0/0/2 p l a p d v 10
SW2
sy sy SW2 vlan b 10 20 30 100 int g0/0/1 p l t p t a v all int g0/0/2 p l a p d v 20 int g0/0/3 p l a p d v 20
SW3
sy sy SW3 vlan b 10 20 30 100 int g0/0/1 p l t p t a v all int g0/0/2 p l a p d v 30
SW4
sy sy SW4 vlan b 10 20 30 100 int vlan10 ip add 10.1.1.254 24 int vlan20 ip add 10.1.2.254 24 int vlan30 ip add 10.1.3.254 24 int vlan100 ip add 10.1.100.254 24 int g0/0/1 p l t p t a v all int g0/0/2 p l t p t a v all int g0/0/3 p l t p t a v all int g0/0/4 p l t p t a v all
MQC-流策略配置
acl number 3000 rule 5 deny ip destination 10.1.2.0 0.0.0.255 //禁止访客访问员工 rule 10 deny ip destination 10.1.3.0 0.0.0.255 //禁止访客访问服务器 acl number 3001 rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255 //员工A可以访问服务器的所有资源 rule 10 permit tcp source 10.1.3.2 0 destination-port eq ftp rule 15 deny ip destination 10.1.3.0 0.0.0.255 //其他员工只能访问服务器的21端口 traffic classifier libai operator and if-match acl 3000 //配置流分类,匹配acl3000 traffic classifier huawei operator and if-match acl 3001 //配置流分类,匹配acl3001 traffic behavior b1 permit //配置流行为,动作为perimt traffic policy admin classifier libai behavior b1 //配置流策略admin,将libai与b1关联 traffic policy root classifier huawei behavior b1 //配置流策略root,将huawei与b1关联 vlan 10 traffic-policy admin inbound //应用流策略admin vlan 20 traffic-policy root inbound //应用流策略root
验证
访客只能访问Internet,不能与其他任何VLAN的用户通信。
员工A可以访问服务器区的所以资源(HTTP、FTP)
员工B只能访问服务器A的21端口(FTP服务)。
