首页 > 其他分享 >VLAN隔离

VLAN隔离

时间:2023-09-25 23:08:25浏览次数:42  
标签:PC1 隔离 VLAN ping 互通 Server

场景一、同一VLAN下用户进行隔离

如果不希望同一VLAN下某些用户进行互通,可以通过配置端口隔离实现。

下面通过一个实验来详细讲解如何实现端口隔离:

如下图所示,三台PC属于同一VLAN、同一网段,配置完成后,三台PC都可以互访,现在要求PC1和PC2之间不能互通,PC1和PC3能够互通、PC2和PC3能够互通。

VLAN隔离_Group

配置过程如下:

VLAN隔离_Group_02

验证配置结果:

PC1 ping PC2,无法ping通。

VLAN隔离_Server_03

PC1 ping PC3,可以ping通。

VLAN隔离_Server_04

OK!配置成功。

场景二、部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离――通过MUX VLAN实现

MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。

MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。

  • Principal VLAN可以和所有VLAN互通。
  • Group VLAN可以和Principal VLAN和本VLAN内互通。
  • Separate VLAN只能和Principal VLAN互通,本VLAN内不能互通。

下面通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示,由于不同的PC属于不同的部门,需要对用户进行互通和隔离。

  • 要求所有PC都可以访问服务器(Server),即VLAN20和VLAN30可以访问VLAN10。
  • PC1和PC2之间可以互访,和PC3、PC4不能互访,即VLAN20和VLAN30不能互访。
  • PC3和PC4之间隔离,不能互访,即VLAN30内用户不能互访。

VLAN隔离_Group_05

详细配置步骤如下:

VLAN隔离_ci_06

OK,配置完成,让我们来验证一下配置结果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

VLAN隔离_Server_07

PC3 ping Server

VLAN隔离_ci_08

所有Group VLAN中的PC可以互通,但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

VLAN隔离_Group_09

PC1 ping PC3

VLAN隔离_Group_10

Separate VLAN的PC隔离,不能互通。

PC3 ping PC4

VLAN隔离_Server_11

场景三:不同VLAN互通后,如何对部分VLAN或部分用户进行隔离――通过流策略实现

流策略技术原理,就不做过多介绍了,想了解详细信息,请参见QoS手册,通过下面的例子介绍如何实现VLAN隔离。

VLAN隔离_ci_12

如上图所示,FTP Server属于192.168.1.0/24网段,PC1和PC2属于192.168.10.0/24,PC3和PC4属于192.168.20.0/24网段。

假设所有VLAN已经通过VLANIF接口实现VLAN间互通,详细配置方法不做赘述。

将FTP Server的网关设置为192.168.1.1,将PC1和PC2的网关设置为192.168.10.1,将PC2和PC4的网关设置为192.168.20.1。VLAN10、VLAN20和VLAN100内所有设备能够互通,例如:在PC1上ping FTP Server,能够ping通。

现在要求PC3和PC4所在网段设备能够访问FTP Server,PC1和PC2所在网段设备禁止访问FTP Server。

在SwitchA上配置ACL和流策略进行隔离,192.168.10.0/24网段的设备禁止访问FTP Server,详细配置步骤如下:

VLAN隔离_ci_13

配置完之后,我们再来验证一下PC1是否能够ping通FTP Server呢?

VLAN隔离_ci_14

但是PC3任然可以ping同FTP Server。

VLAN隔离_ci_15

OK,配置成功,大功告成。

标签:PC1,隔离,VLAN,ping,互通,Server
From: https://blog.51cto.com/u_16077267/7599464

相关文章

  • VLAN 2
    VLAN2Native背景一般来说不配置NativeVLAN的情况下,SWA收到PCA不打Tag的数据发现接收口端口绑定的是VLAN10,因为SWA右边接口是Trunk接口,所以会打Tag标记继续转发,而SWB收到SWA的数据后看到数据包里面是VLAN10,会查看自己的配置查看映射关系,如果有对应的端口SWB会将数据发送......
  • mac_vlan条目没生效
    配置文件、数据库、MAC上都有这条mac_vlan,但实际上在芯片上bamshl2show对应的vlan是错误的原因是端口类型不对,配置mac_vlan的端口一定得是hybrid口......
  • VLAN 1
    VLAN(虚拟局域网)VLAN的概念:在一台交换机虚拟多个局域网,每个局域网用数字表示。如:VLAN10VLAN20同VLAN之间可以相互访问,如果划分VLAN之间就无法相互访问一个广播域造成广播泛洪所有的交换机都得收到影响。划分VLAN的好处是:1.减少广播造成的影响(因为VLAN划分是将一个大的网络......
  • VLAN
    Access类型的端口在发送报文时作什么处理(B)发送tag的报文剥离报文的VLAN信息直接发送出去交换报文的VLAN信息,再发送出去打上端口的PVID下列哪种类型的端口能实现VLANtag剥离转发(ABC)多AccessTrunkHybirdNorma交换机收到一个带VLAN的数据帧,MAC表项中没有对应的MAC记......
  • 数通HCIE_VLAN
    VLAN:虚拟局域网什么是VLAN?VLAN(VirtualLocalAreaNetwork)是一种在二层实现隔离广播域的技术。传统以太网的问题是,当某台主机发送一个广播帧或未知单播帧时,该数据会被泛洪,甚至传递到整个广播域。广播域的范围越大,产生的网络安全问题、垃圾流量问题,就越严重。vlan的特点是不受......
  • 配置黑洞MAC表项(从而禁止mac设备上网)或者vlan限制
    过滤掉非法MAC地址命令如下:[H3C]mac-addressblackholeMAC地址也可以通过加入VLAN限制来设备在某些区域不能上网,如:[HUAWEI]mac-addressblackholeMAC地址VLAN20这样来源为VLAN20的数据中接收到源或目的为该MAC地址的帧时会自动丢弃。借此可以实现在部分网络禁止该MAC地址的设......
  • 交换机 : VLAN支持
    交换机:VLAN支持https://detail.zol.com.cn/product_param/index2786.html交换机:端口数量https://detail.zol.com.cn/product_param/index2792.html......
  • 销售管理—系统参数—基本参数—业务组数据隔离
    销售管理—系统参数—基本参数—业务组数据隔离更新于2021-03-2617:45 销售管理—系统参数—基本参数—业务组数据隔离说明一、参数路径如图示:二、参数说明:1、启用该参数后,销售订单、发货通知单等非库存单据,按销售组进行数据隔离,即同一业务组的人员可以相互查询单......
  • 13 VLAN 间通信
    传统交换二层组网中,默认所有网络都处于同一个广播域,这带了诸多问题。VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术的提出,满足了二层组网隔离广播域需求,使得属于不同VLAN的网络无法互访,但不同VLAN之间又存在着相互访问的需求。多臂路由路由器三层接口作为网关,转发本网段前往......
  • MySQL事务隔离级别详解
    MySQL事务隔离级别详解|JavaGuide(Java面试+学习指南)事务隔离级别总结SQL标准定义了四个隔离级别:READ-UNCOMMITTED(读取未提交):最低的隔离级别,允许读取尚未提交的数据变更,可能会导致脏读、幻读或不可重复读。READ-COMMITTED(读取已提交):允许读取并发事务已经提交的数......