VLAN内二层隔离
为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN。但若企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN,还增加了网络管理者配置和维护的工作量。
为此,华为提供了一些VLAN内二层隔离技术,如端口隔离、MUX VLAN和基于MQC的VLAN内二层隔离等。
端口隔离
端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的二层隔离,不同隔离组的端口之间或者不属于任何隔离组的端口与其他端口之间都能进行正常的数据转发。同时,用户还可以通过配置实现端口的单向隔离,为用户提供更安全、更灵活的组网方案。
MUX VLAN
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通信,也可实现VLAN内的用户相互隔离。
比如,在企业网络中,企业通常希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问,但企业员工和企业客户都可以访问企业的服务器。此种场景,通过部署MUX-VLAN就可以实现。
有关MUX VLAN的详细描述请参见“MUX VLAN配置”,本节不再赘述。
基于流策略的VLAN内二层隔离
流策略是将流分类和流行为关联后形成的完整的QoS策略。基于流策略的VLAN内二层隔离指用户可以根据匹配规则对报文进行流分类,然后通过流策略将流分类与permit/deny动作相关联,使符合流分类的报文被允许或被禁止通过,从而实现灵活的VLAN内单向或双向隔离。
交换机支持基于MQC的VLAN内二层隔离,也支持基于简化流策略的VLAN内二层隔离,有关MQC和简化流策略的详细描述请参见《S12700 V200R013C00 配置指南-QoS》 MQC配置和基于ACL的简化流策略配置。
