基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标
vlan隔离分类
1:同一设备同一用户 实现方式:端口隔离
2:部分VLAN间互通,VLAN间隔离,vlan间内用户隔离 实现方式:mux vlan
3:vlan间三层通信,需要禁止部分用户互访 实现方式:流策略
1端口隔离范例:
配置命令:
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1
2MUX VLAN
配置案例
配置命令:
vlan batch 2 3 4
#
vlan 2
mux-vlan 指定vlan2 为principal vlan
subordinate separate 4 指定vlan4 为separate vlan
subordinate group 3 指定vlan3 为group vlan
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port mux-vlan enable
其他接口以此类推 不在复述
基于流策略的vlan隔离
acl number 3000
rule 5 deny ip destination 10.1.2.0 0.0.0.255
rule 10 deny ip destination 10.1.3.0 0.0.0.255
#
acl number 3001
rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
rule 10 permit tcp destination 10.1.3.2 0 destination-port eq ftp
rule 15 deny ip destination 10.1.3.0 0.0.0.255
#
traffic classifier 1_q operator and
if-match acl 3000
traffic classifier 2_q operator and
if-match acl 3001
#
traffic behavior b1
permit
#
traffic policy 1_2_q
classifier 2_q behavior b1
traffic policy b_1_Q
classifier 1_q behavior b1
#
vlan 10
traffic-policy 1_2_q inbound
#
vlan 20
traffic-policy b_1_Q inbound