■北京 李永峰 潘號良

VLAN技術(shù)簡化了網(wǎng)絡(luò)管理、控制了廣播風暴的擴散、提高了網(wǎng)絡(luò)的安全性。在實際工作中，我們通常按子網(wǎng)定義VLAN，同一網(wǎng)段的主機劃分至同一VLAN內(nèi)，同一VLAN的主機之間可以不受任何限制地進行通信。但在實際工作中，我們常常希望能夠靈活控制同一網(wǎng)段內(nèi)的主機間的訪問，比如我們希望所有員工的主機都能夠訪問公 司的服務(wù)器，但員工間的主機不能互相訪問；或者我們希望同一VLAN的部分員工主機能夠互相訪問，部分主機不能互訪。下面我以華為交換機S5700為例探討利用VLAN相關(guān)技術(shù)控制同一網(wǎng)段內(nèi)主機間訪問的幾種方法。

端口隔離

為了實現(xiàn)報文之間的二層隔離，可以將不同主機的端口加入不同的VLAN，但這樣會浪費有限的VLAN資源。采用端口隔離功能，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。

如圖1所示，PC1、PC2及Server屬于同一VLAN2,現(xiàn)在要求PC1和PC2都可以訪問Server，但PC1和PC2不能互相訪問。

交換機配置如下：

此 時 PC1、PC2及 Server之間互相都可以Ping通。

2、MUX VLA

MUX VLAN分為主VLAN（Principal VLAN）和 從 VLAN（Subordinate VLAN）,從VLAN又分為互通型（group）從VLAN和隔離型（separate）從VLAN。主VLAN與從VLAN之間可以相互通信；互通型從VLAN內(nèi)的端口之間可以互通信，隔離型從VLAN內(nèi)的端口之間不能互相通信，不同從VLAN之間不能互相通信。

如 圖 2所 示，4臺PC及Server屬于同一網(wǎng)段，現(xiàn)要求所有PC均能訪問Server，PC1及PC2可以互相通信，PC3與PC4不能互相通信，且均不能與PC1和PC2互通。

根據(jù)以上需求，我們使用MUX VLAN功能將Server劃至Mux VLAN 100中，將PC1和PC2劃分至從VLAN的 Group VLAN 10中，將PC3和PC4劃分至從VLAN的Separate VLAN 20中。

交換機配置如下：

//將連接Server的端口G0/0/24加入到VLAN100中，并在接口上開啟MUX VLAN功能。

//分別將連接PC1和PC2的端口G0/0/1和G0/0/2加入到VLAN 10中，并在接口上開啟MUX VLAN功能。

Hybrid端口

Hybrid類型端口同時具有Access和Trunk兩種類型端口中的部分特性。它可以像Trunk端口那樣發(fā)送帶VLAN tag的報文，而且還可以隸屬多個VLAN。它還可以像Access端口那樣發(fā)送不帶VLAN標記的報文，而且還可以允許多個VLAN的報文不打標記地發(fā)送。我們可以利用Hybrid端口這樣的特性，方便地控制同一網(wǎng)段用戶間的訪問。

如圖3所示，PC1、PC2及Server屬于同一網(wǎng)段,現(xiàn)在要求PC1和PC2都可以訪問Server，但PC1和PC2不能互相訪問。

根據(jù)以上要求，我們將PC1、PC2及Server分別劃至VLAN2、VLAN3及VLAN4中，然后配置交換機端口的Hybrid參數(shù)實現(xiàn)主機間的訪問。

交換機配置如下：

以上三種方法都可以實現(xiàn)同一網(wǎng)段內(nèi)主機間隔離或互通，但三種方法各有優(yōu)缺點。端口隔離配置簡單，方便實現(xiàn)，占用VLAN資源較少，但端口隔離功能無法跨越交換機，只對本地配置有效。MUX VLAN功能較強，適用用戶較多的情況，能夠跨越交換機，但配置稍顯復雜。Hybrid端口應(yīng)用靈活，比較容易實現(xiàn)，但占用VLAN資源較多。在日常工作中，我們應(yīng)該根據(jù)自己的實際需求選擇合適的方法控制同一網(wǎng)段內(nèi)用戶間的訪問。