■北京 李永峰 潘號良

VLAN技術簡化了網絡管理、控制了廣播風暴的擴散、提高了網絡的安全性。在實際工作中，我們通常按子網定義VLAN，同一網段的主機劃分至同一VLAN內，同一VLAN的主機之間可以不受任何限制地進行通信。但在實際工作中，我們常常希望能夠靈活控制同一網段內的主機間的訪問，比如我們希望所有員工的主機都能夠訪問公 司的服務器，但員工間的主機不能互相訪問；或者我們希望同一VLAN的部分員工主機能夠互相訪問，部分主機不能互訪。下面我以華為交換機S5700為例探討利用VLAN相關技術控制同一網段內主機間訪問的幾種方法。

端口隔離

為了實現報文之間的二層隔離，可以將不同主機的端口加入不同的VLAN，但這樣會浪費有限的VLAN資源。采用端口隔離功能，可以實現同一VLAN內端口之間的隔離。只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。

如圖1所示，PC1、PC2及Server屬于同一VLAN2,現在要求PC1和PC2都可以訪問Server，但PC1和PC2不能互相訪問。

交換機配置如下：

此 時 PC1、PC2及 Server之間互相都可以Ping通。

2、MUX VLA

MUX VLAN分為主VLAN（Principal VLAN）和 從 VLAN（Subordinate VLAN）,從VLAN又分為互通型（group）從VLAN和隔離型（separate）從VLAN。主VLAN與從VLAN之間可以相互通信；互通型從VLAN內的端口之間可以互通信，隔離型從VLAN內的端口之間不能互相通信，不同從VLAN之間不能互相通信。

如 圖 2所 示，4臺PC及Server屬于同一網段，現要求所有PC均能訪問Server，PC1及PC2可以互相通信，PC3與PC4不能互相通信，且均不能與PC1和PC2互通。

根據以上需求，我們使用MUX VLAN功能將Server劃至Mux VLAN 100中，將PC1和PC2劃分至從VLAN的 Group VLAN 10中，將PC3和PC4劃分至從VLAN的Separate VLAN 20中。

交換機配置如下：

//將連接Server的端口G0/0/24加入到VLAN100中，并在接口上開啟MUX VLAN功能。

//分別將連接PC1和PC2的端口G0/0/1和G0/0/2加入到VLAN 10中，并在接口上開啟MUX VLAN功能。

Hybrid端口

Hybrid類型端口同時具有Access和Trunk兩種類型端口中的部分特性。它可以像Trunk端口那樣發(fā)送帶VLAN tag的報文，而且還可以隸屬多個VLAN。它還可以像Access端口那樣發(fā)送不帶VLAN標記的報文，而且還可以允許多個VLAN的報文不打標記地發(fā)送。我們可以利用Hybrid端口這樣的特性，方便地控制同一網段用戶間的訪問。

如圖3所示，PC1、PC2及Server屬于同一網段,現在要求PC1和PC2都可以訪問Server，但PC1和PC2不能互相訪問。

根據以上要求，我們將PC1、PC2及Server分別劃至VLAN2、VLAN3及VLAN4中，然后配置交換機端口的Hybrid參數實現主機間的訪問。

交換機配置如下：

以上三種方法都可以實現同一網段內主機間隔離或互通，但三種方法各有優(yōu)缺點。端口隔離配置簡單，方便實現，占用VLAN資源較少，但端口隔離功能無法跨越交換機，只對本地配置有效。MUX VLAN功能較強，適用用戶較多的情況，能夠跨越交換機，但配置稍顯復雜。Hybrid端口應用靈活，比較容易實現，但占用VLAN資源較多。在日常工作中，我們應該根據自己的實際需求選擇合適的方法控制同一網段內用戶間的訪問。