基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

图1 同一VLAN下用户进行隔离

在网络管理中，如何对同一VLAN下用户进行隔离，如何实现部分VLAN互通、部分VLAN隔离呢，如何针对某个用户、或某个网段用户进行隔离呢，下面以华为交换机为例分两种情况做介绍。

同一VLAN下用户进行隔离

在日常网络管理中，如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。

下面通过eNSP模拟一个实验来详细讲解如何实现端口隔离：

如图1所示，三台PC属于同一VLAN、同一网段，配置完成后，三台PC都可以互访，现在要求PC1和PC2之间不能互通，PC1和PC3能够互通、PC2和PC3能够互通。

配置过程如图2所示。

验证：

PC1 ping PC2，无法 ping通。

PC1 ping PC3，可以 ping通 ；PC2 ping PC3，可以 ping通。

部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离——通过MUX VLAN实现

MUX VLAN在网中实现客户与客户之间不可互相访问，客户与员工之间不可互相访问，员工与员工之间可以互相访问，员工与客户都可以访问服务器。MUX VLAN是一种二层流量隔离机制，MUX VLAN 分为：Principal VLAN （主 VLAN）和 Subordinate VLAN（从VLAN），Subordinate VLAN（从VLAN）分为Group VLAN（互通从VLAN） 和 Separate VLAN（隔离型从VLAN）。MUX VLAN的通信权限分为3种：

图2 同一VLAN下的配置过程

1.主VLAN端口可以和所有VLAN通信；2.互通型从VLAN可以和自己VLAN间成员通信和主VLAN通 信 ；3. 隔离型从VLAN只能和主VLAN通信，自己VLAN的成员也不可通信。配置MUX VLAN时应该注意，所有主机必须在同一子网，端口必须为access模式加入VLAN。配置MUX VLAN不能用于VLANIF接 口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。

图3 通过MUX VLAN实现隔离

如图3所示，由于不同的PC属于不同的部门，需要对用户进行互通和隔离。要求所有PC都可以访问服务器（Server）， 即 VLAN20 和VLAN30可以访问VLAN10。PC1和PC2之间可以互访，和 PC3、PC4不 能 互 访，即VLAN20和VLAN30不能互访。PC3和PC4之间隔离，不能互访，即VLAN30内用户不能互访。

配置过程如下：

1. 创 建 VLAN 10、20、30，将 VLAN 10 Principal VLAN，将 VLAN 20配 置 为Group VLAN，将 VLAN 30配置为Separate VLAN，如图4所示。

2.把server的GE 0/0/1加入到Principal VLAN 10，打开 MUX-VLAN功能，如图5所示。

3.把 PC1、PC2加 入Group VLAN 20，PC3、PC4加入 Separate VLAN 30，如图6所示。

验证

所有PC都可以和Principal VLAN中的Server互通。

1.PC1、PC2、PC3、PC4 ping Server。

2.所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2互通。

PC1 ping PC3不能互通。

3.Separate vlan的PC隔离，不能互通。

PC3 ping PC4不能互通。

通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。

在安全性方面，VLAN隔离技术可以保证物理设备之间的隔离，但是对于同一台服务器，只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放，而不能针对个别用户进行限制。在实际应用中，一台服务器担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这也带来一定的安全隐患，所以只适用于小型网络的管理。

图4 创建 vlan 10、20、30

图5 打开mux-vlan功能

图6 把 pc1，pc2加入 Group vlan 20；pc3，pc4加入 Separate vlan 30