歡迎關注微信公眾號:新網工李白
“免費獲取華為認證學習資料培訓機構視頻、軟考學習資料和求職簡歷模板,”
VLAN隔離
- 一、場景及實作方式
- 二、埠隔離
- 1、配置案例
- 三、MUX VLAN:Multiplex VLAN
- 1、配置案例
- 四、MQC-流策略
- 1、MQC三要素
- 2、流策略在VLAN中應用
- 3、MQC配置流程
- 4、配置案例
一、場景及實作方式
| 場景 | 實作方式 |
|---|---|
| 同一設備下掛的用戶屬于同一VLNA,需要禁止某些用戶互訪 | 埠隔離 |
| 設備下掛許多用戶,需要:1、部分VLAN間可以互通 2、部分VLAN間隔離 3、VLAN 內用戶隔離 | MUX VLAN |
| VLAN間三層互通后,需要禁止部分用戶互訪或者只允許用戶單項訪問 | 流策略 |
二、埠隔離
同一VLAN內埠之間的隔離
如果不希望同一VLAN下某些用戶進行互通,可以通過配置埠隔離實作,用戶只需要將埠加入到隔離組中,就可以實作隔離組內埠之間二層資料的隔離,
1、配置案例
場景
PC1與PC2在VLAN1內不能互相訪問,PC3與PC1、PC2之間可以互相訪問
埠隔離配置
interface GigabitEthernet0/0/1
port link-type access
port-isolate enable group 1
interface GigabitEthernet0/0/2
port link-type access
port-isolate enable group 1
PC1pingPC2和PC3,PC2不通、PC3能通,
PC2pingPC1和PC3,PC1不通、PC3能通,
PC3pingPC1和PC2,PC1、PC2能通,
三、MUX VLAN:Multiplex VLAN
VLAN間互通、VLAN間隔離、VLAN內隔離
- 一種通過VLAN進行網路資源控制的機制,
- 只適用于二層網路中、對同一網段的用戶進行互通和隔離,
- 實作處于相同網段的設備劃入不同VLAN后,可以和指定VLAN通信,可以實作禁止相同VLAN內的不同設備間的通信,
- 即可以同時實作VLAN間互通、VLAN間隔離、VLAN內隔離
- 對應思科技術:Private VLAN
1、配置案例
場景
- 所有用戶都能訪問Server
- PC1和PC2可以互訪,和PC3、PC4不能互訪
PC3和PC4之間隔離,不能互訪
基礎配置
PC1、PC2、PC3、PC4、Server
MUX-VLAN配置
vlan batch 2 3 4 #創建VLAN
vlan 2 #進入VLAN
mux-vlan #配置主VLAN
subordinate separate 4 #配置互通型從VLAN
subordinate group 3 #配置隔離型從VLAN
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port mux-vlan enable #開啟Mux-VLAN功能
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 4
port mux-vlan enable
interface GigabitEthernet0/0/5
port link-type access
port default vlan 4
port mux-vlan enable
驗證
四、MQC-流策略
不同VLAN互通后對部分VLAN或部分用戶進行隔離
MQC:Modular QoS Command-Line Interface,模塊化QoS命令列
- 一種強大的配置方法,
- 指通過將具有某類共同特征的報文劃分為一類,并為同一類報文提供相同的服務,也可以對不同類的報文提供不同的服務的配置方法,
- “模塊化”的最大優點是可以節省配置,支持批量修改,
1、MQC三要素
流分類、流行為、流策略
| 術語 | 備注 |
|---|---|
| 流分類Traffic Classifier | 定義一組流量匹配規則,以對報文進行分類 |
| 流行為Traffic Behavior | 定義針對某類報文所做的動作,例如報文過濾、流量監管、重標記、流量限速、流量統計等 |
| 流策略 | |
| Traffic Policy | 將指定的流分類和流行為系結,對分類后的報文執行對應流行為中定義的動作 |
2、流策略在VLAN中應用
- VLAN內二層隔離:VLAN內用戶能夠自由隔離(即任意用戶間的單、雙向隔離)
- VLAN間三層隔離:禁止部分用戶互訪或者只允許用戶單向訪問
3、MQC配置流程
- 配置流分類:按照一定規則對報文進行分類,是提供差分服務的基礎,
- 配置流行為:為符合流分類規則的報文指定流量控制或資源分配動作,
- 配置流策略:將指定的流分類和指定的流行為系結,形成完整的策略,
- 應用流策略:將流策略應用到全域、介面、VLAN,
4、配置案例
場景
- 訪客只能訪問Internet,不能與其他任何VLAN的用戶通信,
- 員工A可以訪問服務器區的所以資源,但其他員工只能訪問服務器A的21埠(FTP服務),
基礎配置
訪客A
員工A
員工B
服務器A
SW1
sy
sy SW1
vlan b 10 20 30 100
int g0/0/1
p l t
p t a v all
int g0/0/2
p l a
p d v 10
SW2
sy
sy SW2
vlan b 10 20 30 100
int g0/0/1
p l t
p t a v all
int g0/0/2
p l a
p d v 20
int g0/0/3
p l a
p d v 20
SW3
sy
sy SW3
vlan b 10 20 30 100
int g0/0/1
p l t
p t a v all
int g0/0/2
p l a
p d v 30
SW4
sy
sy SW4
vlan b 10 20 30 100
int vlan10
ip add 10.1.1.254 24
int vlan20
ip add 10.1.2.254 24
int vlan30
ip add 10.1.3.254 24
int vlan100
ip add 10.1.100.254 24
int g0/0/1
p l t
p t a v all
int g0/0/2
p l t
p t a v all
int g0/0/3
p l t
p t a v all
int g0/0/4
p l t
p t a v all
MQC-流策略配置
acl number 3000
rule 5 deny ip destination 10.1.2.0 0.0.0.255
//禁止訪客訪問員工
rule 10 deny ip destination 10.1.3.0 0.0.0.255
//禁止訪客訪問服務器
acl number 3001
rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
//員工A可以訪問服務器的所有資源
rule 10 permit tcp source 10.1.3.2 0 destination-port eq ftp
rule 15 deny ip destination 10.1.3.0 0.0.0.255
//其他員工只能訪問服務器的21埠
traffic classifier libai operator and
if-match acl 3000
//配置流分類,匹配acl3000
traffic classifier huawei operator and
if-match acl 3001
//配置流分類,匹配acl3001
traffic behavior b1
permit
//配置流行為,動作為perimt
traffic policy admin
classifier libai behavior b1
//配置流策略admin,將libai與b1關聯
traffic policy root
classifier huawei behavior b1
//配置流策略root,將huawei與b1關聯
vlan 10
traffic-policy admin inbound
//應用流策略admin
vlan 20
traffic-policy root inbound
//應用流策略root
驗證
訪客只能訪問Internet,不能與其他任何VLAN的用戶通信,
員工A可以訪問服務器區的所以資源(HTTP、FTP)
員工B只能訪問服務器A的21埠(FTP服務),
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/276227.html
標籤:其他