■北京 李永峰 潘号良

VLAN技术简化了网络管理、控制了广播风暴的扩散、提高了网络的安全性。在实际工作中，我们通常按子网定义VLAN，同一网段的主机划分至同一VLAN内，同一VLAN的主机之间可以不受任何限制地进行通信。但在实际工作中，我们常常希望能够灵活控制同一网段内的主机间的访问，比如我们希望所有员工的主机都能够访问公 司的服务器，但员工间的主机不能互相访问；或者我们希望同一VLAN的部分员工主机能够互相访问，部分主机不能互访。下面我以华为交换机S5700为例探讨利用VLAN相关技术控制同一网段内主机间访问的几种方法。

端口隔离

为了实现报文之间的二层隔离，可以将不同主机的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

如图1所示，PC1、PC2及Server属于同一VLAN2,现在要求PC1和PC2都可以访问Server，但PC1和PC2不能互相访问。

交换机配置如下：

此 时 PC1、PC2及 Server之间互相都可以Ping通。

2、MUX VLA

MUX VLAN分为主VLAN（Principal VLAN）和 从 VLAN（Subordinate VLAN）,从VLAN又分为互通型（group）从VLAN和隔离型（separate）从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间可以互通信，隔离型从VLAN内的端口之间不能互相通信，不同从VLAN之间不能互相通信。

如 图 2所 示，4台PC及Server属于同一网段，现要求所有PC均能访问Server，PC1及PC2可以互相通信，PC3与PC4不能互相通信，且均不能与PC1和PC2互通。

根据以上需求，我们使用MUX VLAN功能将Server划至Mux VLAN 100中，将PC1和PC2划分至从VLAN的 Group VLAN 10中，将PC3和PC4划分至从VLAN的Separate VLAN 20中。

交换机配置如下：

//将连接Server的端口G0/0/24加入到VLAN100中，并在接口上开启MUX VLAN功能。

//分别将连接PC1和PC2的端口G0/0/1和G0/0/2加入到VLAN 10中，并在接口上开启MUX VLAN功能。

Hybrid端口

Hybrid类型端口同时具有Access和Trunk两种类型端口中的部分特性。它可以像Trunk端口那样发送带VLAN tag的报文，而且还可以隶属多个VLAN。它还可以像Access端口那样发送不带VLAN标记的报文，而且还可以允许多个VLAN的报文不打标记地发送。我们可以利用Hybrid端口这样的特性，方便地控制同一网段用户间的访问。

如图3所示，PC1、PC2及Server属于同一网段,现在要求PC1和PC2都可以访问Server，但PC1和PC2不能互相访问。

根据以上要求，我们将PC1、PC2及Server分别划至VLAN2、VLAN3及VLAN4中，然后配置交换机端口的Hybrid参数实现主机间的访问。

交换机配置如下：

以上三种方法都可以实现同一网段内主机间隔离或互通，但三种方法各有优缺点。端口隔离配置简单，方便实现，占用VLAN资源较少，但端口隔离功能无法跨越交换机，只对本地配置有效。MUX VLAN功能较强，适用用户较多的情况，能够跨越交换机，但配置稍显复杂。Hybrid端口应用灵活，比较容易实现，但占用VLAN资源较多。在日常工作中，我们应该根据自己的实际需求选择合适的方法控制同一网段内用户间的访问。