** 基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标**
vlan隔离分类
1:同一设备同一用户 实现方式:端口隔离 2:部分VLAN间互通,VLAN间隔离,vlan间内用户隔离 实现方式:mux vlan 3:vlan间三层通信,需要禁止部分用户互访 实现方式:流策略
1端口隔离范例:
配置命令:
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
interface GigabitEthernet0/0/2 port link-type access port default vlan 10 port-isolate enable group 1
2MUX VLAN
配置案例
配置命令:
vlan batch 2 3 4
vlan 2 mux-vlan 指定vlan2 为principal vlan subordinate separate 4 指定vlan4 为separate vlan subordinate group 3 指定vlan3 为group vlan
interface GigabitEthernet0/0/1 port link-type access port default vlan 2 port mux-vlan enable 其他接口以此类推 不在复述
基于流策略的vlan隔离
acl number 3000 rule 5 deny ip destination 10.1.2.0 0.0.0.255 rule 10 deny ip destination 10.1.3.0 0.0.0.255
acl number 3001 rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255 rule 10 permit tcp destination 10.1.3.2 0 destination-port eq ftp rule 15 deny ip destination 10.1.3.0 0.0.0.255
traffic classifier 1_q operator and if-match acl 3000 traffic classifier 2_q operator and if-match acl 3001
traffic behavior b1 permit
traffic policy 1_2_q classifier 2_q behavior b1 traffic policy b_1_Q classifier 1_q behavior b1
vlan 10 traffic-policy 1_2_q inbound
vlan 20 traffic-policy b_1_Q inbound
