基于VLAN隔離技術(shù)的訪問控制方法在一些中小型企業(yè)和校園網(wǎng)中得到廣泛的應(yīng)用。 VLAN是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機(jī)或者跨交換機(jī)實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。

圖1 同一VLAN下用戶進(jìn)行隔離

在網(wǎng)絡(luò)管理中，如何對同一VLAN下用戶進(jìn)行隔離，如何實現(xiàn)部分VLAN互通、部分VLAN隔離呢，如何針對某個用戶、或某個網(wǎng)段用戶進(jìn)行隔離呢，下面以華為交換機(jī)為例分兩種情況做介紹。

同一VLAN下用戶進(jìn)行隔離

在日常網(wǎng)絡(luò)管理中，如果不希望同一VLAN下某些用戶進(jìn)行互通，可以通過配置端口隔離實現(xiàn)。

下面通過eNSP模擬一個實驗來詳細(xì)講解如何實現(xiàn)端口隔離：

如圖1所示，三臺PC屬于同一VLAN、同一網(wǎng)段，配置完成后，三臺PC都可以互訪，現(xiàn)在要求PC1和PC2之間不能互通，PC1和PC3能夠互通、PC2和PC3能夠互通。

配置過程如圖2所示。

驗證：

PC1 ping PC2，無法 ping通。

PC1 ping PC3，可以 ping通 ；PC2 ping PC3，可以 ping通。

部分VLAN間可以互通、部分VLAN間隔離、VLAN內(nèi)用戶隔離——通過MUX VLAN實現(xiàn)

MUX VLAN在網(wǎng)中實現(xiàn)客戶與客戶之間不可互相訪問，客戶與員工之間不可互相訪問，員工與員工之間可以互相訪問，員工與客戶都可以訪問服務(wù)器。MUX VLAN是一種二層流量隔離機(jī)制，MUX VLAN 分為：Principal VLAN （主 VLAN）和 Subordinate VLAN（從VLAN），Subordinate VLAN（從VLAN）分為Group VLAN（互通從VLAN） 和 Separate VLAN（隔離型從VLAN）。MUX VLAN的通信權(quán)限分為3種：

圖2 同一VLAN下的配置過程

1.主VLAN端口可以和所有VLAN通信；2.互通型從VLAN可以和自己VLAN間成員通信和主VLAN通 信 ；3. 隔離型從VLAN只能和主VLAN通信，自己VLAN的成員也不可通信。配置MUX VLAN時應(yīng)該注意，所有主機(jī)必須在同一子網(wǎng)，端口必須為access模式加入VLAN。配置MUX VLAN不能用于VLANIF接 口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。

圖3 通過MUX VLAN實現(xiàn)隔離

如圖3所示，由于不同的PC屬于不同的部門，需要對用戶進(jìn)行互通和隔離。要求所有PC都可以訪問服務(wù)器（Server）， 即 VLAN20 和VLAN30可以訪問VLAN10。PC1和PC2之間可以互訪，和 PC3、PC4不 能 互 訪，即VLAN20和VLAN30不能互訪。PC3和PC4之間隔離，不能互訪，即VLAN30內(nèi)用戶不能互訪。

配置過程如下：

1. 創(chuàng) 建 VLAN 10、20、30，將 VLAN 10 Principal VLAN，將 VLAN 20配 置 為Group VLAN，將 VLAN 30配置為Separate VLAN，如圖4所示。

2.把server的GE 0/0/1加入到Principal VLAN 10，打開 MUX-VLAN功能，如圖5所示。

3.把 PC1、PC2加 入Group VLAN 20，PC3、PC4加入 Separate VLAN 30，如圖6所示。

驗證

所有PC都可以和Principal VLAN中的Server互通。

1.PC1、PC2、PC3、PC4 ping Server。

2.所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2互通。

PC1 ping PC3不能互通。

3.Separate vlan的PC隔離，不能互通。

PC3 ping PC4不能互通。

通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個虛擬的工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在二層上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。由于VLAN技術(shù)是基于二層和三層之間的隔離，可以將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進(jìn)行分組并通過支持VLAN技術(shù)的交換機(jī)隔離不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換來達(dá)到網(wǎng)絡(luò)安全的目的。該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在數(shù)據(jù)鏈路層上是斷開的，只能通過三層路由器才能訪問。

在安全性方面，VLAN隔離技術(shù)可以保證物理設(shè)備之間的隔離，但是對于同一臺服務(wù)器，只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放，而不能針對個別用戶進(jìn)行限制。在實際應(yīng)用中，一臺服務(wù)器擔(dān)當(dāng)多種服務(wù)器角色，同時為多個VLAN組用戶提供不同的服務(wù)，這也帶來一定的安全隱患，所以只適用于小型網(wǎng)絡(luò)的管理。

圖4 創(chuàng)建 vlan 10、20、30

圖5 打開mux-vlan功能

圖6 把 pc1，pc2加入 Group vlan 20；pc3，pc4加入 Separate vlan 30