FAQ-如何限制VLAN间互访

发布时间:  2015-02-11 浏览次数:  2075 下载次数:  0
问题描述
Q:不同VLAN互通后,如何对部分VLAN或部分用户进行隔离?
解决方案
 

A:使用流策略方式实现,通过下面的例子介绍如何实现VLAN隔离。

 

如上图所示,FTP Server属于192.168.1.0/24网段,PC1PC2属于192.168.10.0/24PC3PC4属于192.168.20.0/24网段。

假设所有VLAN已经通过VLANIF接口实现VLAN间互通,详细配置方法不做赘述。

FTP Server的网关设置为192.168.1.1,将PC1PC2的网关设置为192.168.10.1,将PC2PC4的网关设置为192.168.20.1VLAN10VLAN20VLAN100内所有设备能够互通,例如:在PC1ping FTP Server,能够ping通。

现在要求PC3PC4所在网段设备能够访问FTP ServerPC1PC2所在网段设备禁止访问FTP Server

SwitchA上配置ACL和流策略进行隔离,192.168.10.0/24网段的设备禁止访问FTP Server,详细配置步骤如下:

 

配置完之后,我们再来验证一下PC1是否能够pingFTP Server呢?

 

但是PC3任然可以pingFTP Server

 

OK,配置成功,大功告成

PS:通过ACL和流策略对VLAN进行隔离,是一种非常灵活的方式,也可以对单个用户进行隔离,ACL只要匹配单个用户的IP即可。

END