VLAN 隔离的妙用
2022-8-25 08:10:16 Author: 系统安全运维(查看原文) 阅读量:28 收藏

如何对同一VLAN下用户进行隔离呢,如果实现部分VLAN互通、部分VLAN隔离呢,如何针对某个用户、或某个网段用户进行隔离呢,下面就一一道来 。

场景一、同一VLAN下用户进行隔离

如果不希望同一VLAN下某些用户进行互通,可以通过配置端口隔离实现。

下面通过一个实验来详细讲解如何实现端口隔离:

如下图所示,三台PC属于同一VLAN、同一网段,配置完成后,三台PC都可以互访,现在要求PC1和PC2之间不能互通,PC1和PC3能够互通、PC2和PC3能够互通。

配置过程如下:

验证配置结果:

PC1 ping PC2,无法ping通。

PC1 ping PC3,可以ping通。

OK!配置成功。

场景二、部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离――通过MUX VLAN实现

MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。

MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。

  • Principal VLAN可以和所有VLAN互通。

  • Group VLAN可以和Principal VLAN和本VLAN内互通。

  • Separate VLAN只能和Principal VLAN互通,本VLAN内不能互通。

下面通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示,由于不同的PC属于不同的部门,需要对用户进行互通和隔离。

  • 要求所有PC都可以访问服务器(Server),即VLAN20和VLAN30可以访问VLAN10。

  • PC1和PC2之间可以互访,和PC3、PC4不能互访,即VLAN20和VLAN30不能互访。

  • PC3和PC4之间隔离,不能互访,即VLAN30内用户不能互访。

详细配置步骤如下:

OK,配置完成,让我们来验证一下配置结果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

PC3 ping Server

所有Group VLAN中的PC可以互通,但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

PC1 ping PC3

Separate VLAN的PC隔离,不能互通。

PC3 ping PC4

场景三:不同VLAN互通后,如何对部分VLAN或部分用户进行隔离――通过流策略实现

流策略技术原理,就不做过多介绍了,想了解详细信息,请参见QoS手册,通过下面的例子介绍如何实现VLAN隔离。

如上图所示,FTP Server属于192.168.1.0/24网段,PC1和PC2属于192.168.10.0/24,PC3和PC4属于192.168.20.0/24网段。

假设所有VLAN已经通过VLANIF接口实现VLAN间互通,详细配置方法不做赘述。

将FTP Server的网关设置为192.168.1.1,将PC1和PC2的网关设置为192.168.10.1,将PC2和PC4的网关设置为192.168.20.1。VLAN10、VLAN20和VLAN100内所有设备能够互通,例如:在PC1上ping FTP Server,能够ping通。

现在要求PC3和PC4所在网段设备能够访问FTP Server,PC1和PC2所在网段设备禁止访问FTP Server。

在SwitchA上配置ACL和流策略进行隔离,192.168.10.0/24网段的设备禁止访问FTP Server,详细配置步骤如下:

配置完之后,我们再来验证一下PC1是否能够ping通FTP Server呢?

但是PC3任然可以ping同FTP Server。

OK,配置成功,大功告成。

PS:通过ACL和流策略对VLAN进行隔离,是一种非常灵活的方式,也可以对单个用户进行隔离,ACL只要匹配单个用户的IP即可。

原文链接:https://forum.huawei.com/enterprise/zh/thread-290173.html

好文推荐

信息收集常用的工具

几款实用的内网穿透工具

实战挖掘一个某公司网站漏洞

渗透测试报告自动生成工具 -- Savior

Spring 框架相关漏洞合集 | 红队技术

一款漏洞查找器(挖漏洞的有力工具)

神兵利器 | 分享 直接上手就用的内存马(附下载)

推荐一款自动向hackerone发送漏洞报告的扫描器

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247508609&idx=3&sn=ad5ace701b76eb6dd3f2e8a14f9b5e37&chksm=c30871f1f47ff8e72f1dcadda8e17e17728a484fac45632d315a5bd814106c770ac2a99706fa#rd
如有侵权请联系:admin#unsafe.sh