VLAN隔离

欢迎关注微信公众号：新网工李白
“免费获取华为认证学习资料培训机构视频、软考学习资料和求职简历模板。”

---

一、场景及实现方式

场景	实现方式
同一设备下挂的用户属于同一VLNA，需要禁止某些用户互访	端口隔离
设备下挂许多用户，需要：1、部分VLAN间可以互通 2、部分VLAN间隔离 3、VLAN 内用户隔离	MUX VLAN
VLAN间三层互通后，需要禁止部分用户互访或者只允许用户单项访问	流策略

二、端口隔离

同一VLAN内端口之间的隔离

如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

1、配置案例

场景

PC1与PC2在VLAN1内不能互相访问，PC3与PC1、PC2之间可以互相访问

端口隔离配置

interface GigabitEthernet0/0/1
 port link-type access
 port-isolate enable group 1

interface GigabitEthernet0/0/2
port link-type access
port-isolate enable group 1

• 1
• 2
• 3
• 4
• 5
• 6
• 7

PC1pingPC2和PC3,PC2不通、PC3能通。

PC2pingPC1和PC3,PC1不通、PC3能通。

PC3pingPC1和PC2,PC1、PC2能通。

三、MUX VLAN:Multiplex VLAN

VLAN间互通、VLAN间隔离、VLAN内隔离

• 一种通过VLAN进行网络资源控制的机制。
• 只适用于二层网络中、对同一网段的用户进行互通和隔离。
• 实现处于相同网段的设备划入不同VLAN后，可以和指定VLAN通信，可以实现禁止相同VLAN内的不同设备间的通信。
• 即可以同时实现VLAN间互通、VLAN间隔离、VLAN内隔离
• 对应思科技术：Private VLAN

1、配置案例

场景

• 所有用户都能访问Server
• PC1和PC2可以互访，和PC3、PC4不能互访
  PC3和PC4之间隔离，不能互访

基础配置
PC1、PC2、PC3、PC4、Server





MUX-VLAN配置

vlan batch 2 3 4            #创建VLAN
vlan 2                      #进入VLAN
 mux-vlan                   #配置主VLAN
 subordinate separate 4     #配置互通型从VLAN
 subordinate group 3        #配置隔离型从VLAN

interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port mux-vlan enable #开启Mux-VLAN功能

interface GigabitEthernet0/0/2
port link-type access
port default vlan 3
port mux-vlan enable

interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
port mux-vlan enable

interface GigabitEthernet0/0/4
port link-type access
port default vlan 4
port mux-vlan enable

interface GigabitEthernet0/0/5
port link-type access
port default vlan 4
port mux-vlan enable

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30

验证

四、MQC-流策略

不同VLAN互通后对部分VLAN或部分用户进行隔离

MQC：Modular QoS Command-Line Interface，模块化QoS命令行

• 一种强大的配置方法。
• 指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务的配置方法。
• “模块化”的最大优点是可以节省配置，支持批量修改。

1、MQC三要素

流分类、流行为、流策略

术语	备注
流分类Traffic Classifier	定义一组流量匹配规则，以对报文进行分类
流行为Traffic Behavior	定义针对某类报文所做的动作，例如报文过滤、流量监管、重标记、流量限速、流量统计等
流策略
Traffic Policy	将指定的流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作

2、流策略在VLAN中应用

• VLAN内二层隔离：VLAN内用户能够自由隔离（即任意用户间的单、双向隔离）
• VLAN间三层隔离：禁止部分用户互访或者只允许用户单向访问

3、MQC配置流程

1. 配置流分类：按照一定规则对报文进行分类，是提供差分服务的基础。
2. 配置流行为：为符合流分类规则的报文指定流量控制或资源分配动作。
3. 配置流策略：将指定的流分类和指定的流行为绑定，形成完整的策略。
4. 应用流策略：将流策略应用到全局、接口、VLAN。

4、配置案例

场景

• 访客只能访问Internet，不能与其他任何VLAN的用户通信。
• 员工A可以访问服务器区的所以资源，但其他员工只能访问服务器A的21端口（FTP服务）。

基础配置
访客A

员工A

员工B

服务器A

SW1

sy
sy SW1
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 10 

 
  
  

 
  
  

   
   
1
   
   
2
   
   
3
   
   
4
   
   
5
   
   
6
   
   
7
   
   
8
   
   
9
  
  

SW2

sy
sy SW2
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 20 
int g0/0/3
p l a
p d v 20 

 
  
  

 
  
  

   
   
1
   
   
2
   
   
3
   
   
4
   
   
5
   
   
6
   
   
7
   
   
8
   
   
9
   
   
10
   
   
11
   
   
12
  
  

SW3

sy
sy SW3
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 30 

 
  
  

 
  
  

   
   
1
   
   
2
   
   
3
   
   
4
   
   
5
   
   
6
   
   
7
   
   
8
   
   
9
  
  

SW4

sy
sy SW4
vlan b 10 20 30 100
int vlan10
ip add 10.1.1.254 24
int vlan20 
ip add 10.1.2.254 24
int vlan30 
ip add 10.1.3.254 24
int vlan100
ip add 10.1.100.254 24
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l t 
p t a v all
int g0/0/3
p l t 
p t a v all
int g0/0/4
p l t 
p t a v all

 
  
  

 
  
  

   
   
1
   
   
2
   
   
3
   
   
4
   
   
5
   
   
6
   
   
7
   
   
8
   
   
9
   
   
10
   
   
11
   
   
12
   
   
13
   
   
14
   
   
15
   
   
16
   
   
17
   
   
18
   
   
19
   
   
20
   
   
21
   
   
22
   
   
23
  
  

MQC-流策略配置

acl number 3000
 rule 5 deny ip destination 10.1.2.0 0.0.0.255
 //禁止访客访问员工
 rule 10 deny ip destination 10.1.3.0 0.0.0.255
//禁止访客访问服务器

acl number 3001
rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
//员工A可以访问服务器的所有资源
rule 10 permit tcp source 10.1.3.2 0 destination-port eq ftp
rule 15 deny ip destination 10.1.3.0 0.0.0.255
//其他员工只能访问服务器的21端口

traffic classifier libai operator and
if-match acl 3000
//配置流分类，匹配acl3000
traffic classifier huawei operator and
if-match acl 3001
//配置流分类，匹配acl3001

traffic behavior b1
permit
//配置流行为，动作为perimt
traffic policy admin
classifier libai behavior b1
//配置流策略admin，将libai与b1关联
traffic policy root
classifier huawei behavior b1
//配置流策略root，将huawei与b1关联

vlan 10
traffic-policy admin inbound
//应用流策略admin
vlan 20
traffic-policy root inbound
//应用流策略root

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36

验证

访客只能访问Internet，不能与其他任何VLAN的用户通信。

员工A可以访问服务器区的所以资源(HTTP、FTP)

员工B只能访问服务器A的21端口（FTP服务）。

欢迎关注微信公众号：新网工李白
“免费获取华为认证学习资料培训机构视频、软考学习资料和求职简历模板。”

---

一、场景及实现方式

场景	实现方式
同一设备下挂的用户属于同一VLNA，需要禁止某些用户互访	端口隔离
设备下挂许多用户，需要：1、部分VLAN间可以互通 2、部分VLAN间隔离 3、VLAN 内用户隔离	MUX VLAN
VLAN间三层互通后，需要禁止部分用户互访或者只允许用户单项访问	流策略

二、端口隔离

同一VLAN内端口之间的隔离

如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

1、配置案例

场景

PC1与PC2在VLAN1内不能互相访问，PC3与PC1、PC2之间可以互相访问

端口隔离配置

interface GigabitEthernet0/0/1
 port link-type access
 port-isolate enable group 1