本文正在参与 “网络协议必知必会”征文活动

一、场景及实现方式

场景	实现方式
同一设备下挂的用户属于同一VLNA，需要禁止某些用户互访	端口隔离
设备下挂许多用户，需要：1、部分VLAN间可以互通 2、部分VLAN间隔离 3、VLAN 内用户隔离	MUX VLAN
VLAN间三层互通后，需要禁止部分用户互访或者只允许用户单项访问	流策略

二、端口隔离

同一VLAN内端口之间的隔离

如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

1、配置案例

场景

PC1与PC2在VLAN1内不能互相访问，PC3与PC1、PC2之间可以互相访问

在这里插入图片描述

端口隔离配置

interface GigabitEthernet0/0/1
 port link-type access
 port-isolate enable group 1

interface GigabitEthernet0/0/2
 port link-type access
 port-isolate enable group 1

==PC1pingPC2和PC3,PC2不通、PC3能通。== 在这里插入图片描述 ==PC2pingPC1和PC3,PC1不通、PC3能通。== ==PC3pingPC1和PC2,PC1、PC2能通。==

三、MUX VLAN:Multiplex VLAN

VLAN间互通、VLAN间隔离、VLAN内隔离

一种通过VLAN进行网络资源控制的机制。
只适用于二层网络中、对同一网段的用户进行互通和隔离。
实现处于相同网段的设备划入不同VLAN后，可以和指定VLAN通信，可以实现禁止相同VLAN内的不同设备间的通信。
即可以同时实现VLAN间互通、VLAN间隔离、VLAN内隔离
对应思科技术：Private VLAN

在这里插入图片描述

1、配置案例

场景

所有用户都能访问Server

PC1和PC2可以互访，和PC3、PC4不能互访 PC3和PC4之间隔离，不能互访

在这里插入图片描述基础配置 PC1、PC2、PC3、PC4、Server MUX-VLAN配置

vlan batch 2 3 4            #创建VLAN
vlan 2                      #进入VLAN
 mux-vlan                   #配置主VLAN
 subordinate separate 4     #配置互通型从VLAN
 subordinate group 3        #配置隔离型从VLAN

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
 port mux-vlan enable       #开启Mux-VLAN功能

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 3
 port mux-vlan enable

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
 port mux-vlan enable

interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 4
 port mux-vlan enable

interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 4
 port mux-vlan enable

验证在这里插入图片描述

四、MQC-流策略

不同VLAN互通后对部分VLAN或部分用户进行隔离

MQC：Modular QoS Command-Line Interface，模块化QoS命令行

一种强大的配置方法。
指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务的配置方法。
“模块化”的最大优点是可以节省配置，支持批量修改。

1、MQC三要素

流分类、流行为、流策略

术语	备注
流分类Traffic Classifier	定义一组流量匹配规则，以对报文进行分类
流行为Traffic Behavior	定义针对某类报文所做的动作，例如报文过滤、流量监管、重标记、流量限速、流量统计等
流策略
Traffic Policy	将指定的流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作

2、流策略在VLAN中应用

VLAN内二层隔离：VLAN内用户能够自由隔离（即任意用户间的单、双向隔离）
VLAN间三层隔离：禁止部分用户互访或者只允许用户单向访问

3、MQC配置流程

配置流分类：按照一定规则对报文进行分类，是提供差分服务的基础。
配置流行为：为符合流分类规则的报文指定流量控制或资源分配动作。
配置流策略：将指定的流分类和指定的流行为绑定，形成完整的策略。
应用流策略：将流策略应用到全局、接口、VLAN。

4、配置案例

场景

访客只能访问Internet，不能与其他任何VLAN的用户通信。

员工A可以访问服务器区的所以资源，但其他员工只能访问服务器A的21端口（FTP服务）。

在这里插入图片描述基础配置访客A 员工A 员工B 服务器A SW1

sy
sy SW1
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 10

SW2

sy
sy SW2
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 20 
int g0/0/3
p l a
p d v 20

SW3

sy
sy SW3
vlan b 10 20 30 100
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l a
p d v 30

SW4

sy
sy SW4
vlan b 10 20 30 100
int vlan10
ip add 10.1.1.254 24
int vlan20 
ip add 10.1.2.254 24
int vlan30 
ip add 10.1.3.254 24
int vlan100
ip add 10.1.100.254 24
int g0/0/1
p l t 
p t a v all
int g0/0/2
p l t 
p t a v all
int g0/0/3
p l t 
p t a v all
int g0/0/4
p l t 
p t a v all

MQC-流策略配置

acl number 3000
 rule 5 deny ip destination 10.1.2.0 0.0.0.255
 //禁止访客访问员工
 rule 10 deny ip destination 10.1.3.0 0.0.0.255
//禁止访客访问服务器

acl number 3001
 rule 5 permit ip source 10.1.2.2 0 destination 10.1.3.0 0.0.0.255
 //员工A可以访问服务器的所有资源
 rule 10 permit tcp source 10.1.3.2 0 destination-port eq ftp
 rule 15 deny ip destination 10.1.3.0 0.0.0.255
//其他员工只能访问服务器的21端口

traffic classifier libai operator and
 if-match acl 3000
//配置流分类，匹配acl3000
traffic classifier huawei operator and
 if-match acl 3001
//配置流分类，匹配acl3001

traffic behavior b1
 permit
//配置流行为，动作为perimt
traffic policy admin
 classifier libai behavior b1
 //配置流策略admin，将libai与b1关联 
traffic policy root
 classifier huawei behavior b1
 //配置流策略root，将huawei与b1关联

vlan 10
 traffic-policy admin inbound
//应用流策略admin
vlan 20
 traffic-policy root inbound
//应用流策略root

验证