前言

如何對同一VLAN下用戶進行隔離呢，如果實現部分VLAN互通、部分VLAN隔離呢，如何針對某個用戶、或某個網段用戶進行隔離呢，下面就一一道來 。

場景一、同一VLAN下用戶進行隔離

如果不希望同一VLAN下某些用戶進行互通，可以通過配置端口隔離實現。

下面通過一個實驗來詳細講解如何實現端口隔離：

如下圖所示，三臺PC屬于同一VLAN、同一網段，配置完成后，三臺PC都可以互訪，現在要求PC1和PC2之間不能互通，PC1和PC3能夠互通、PC2和PC3能夠互通。

配置過程如下：

驗證配置結果：

PC1 ping PC2，無法ping通。

PC1 ping PC3，可以ping通。

OK！配置成功。

場景二、部分VLAN間可以互通、部分VLAN間隔離、VLAN內用戶隔離――通過MUX VLAN實現

MUX VLAN只適用于二層網絡中、對同一網段的用戶進行互通和隔離。

MUX VLAN分為Principal VLAN和Subordinate VLAN，Subordinate VLAN又分為Separate VLAN和Group VLAN。

Principal VLAN可以和所有VLAN互通。

Group VLAN可以和Principal VLAN和本VLAN內互通。

Separate VLAN只能和Principal VLAN互通，本VLAN內不能互通。

下面通過一個例子詳解介紹通過MUX VLAN進行VLAN互通和隔離。如下圖所示，由于不同的PC屬于不同的部門，需要對用戶進行互通和隔離。

要求所有PC都可以訪問服務器（Server），即VLAN20和VLAN30可以訪問VLAN10。

PC1和PC2之間可以互訪，和PC3、PC4不能互訪，即VLAN20和VLAN30不能互訪。

PC3和PC4之間隔離，不能互訪，即VLAN30內用戶不能互訪。

詳細配置步驟如下：

OK，配置完成，讓我們來驗證一下配置結果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

PC3 ping Server

所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

PC1 ping PC3

Separate VLAN的PC隔離，不能互通。

PC3 ping PC4

場景三：不同VLAN互通后，如何對部分VLAN或部分用戶進行隔離――通過流策略實現

流策略技術原理，就不做過多介紹了，想了解詳細信息，請參見QoS手冊，通過下面的例子介紹如何實現VLAN隔離。

如上圖所示，FTP Server屬于192.168.1.0/24網段，PC1和PC2屬于192.168.10.0/24，PC3和PC4屬于192.168.20.0/24網段。

假設所有VLAN已經通過VLANIF接口實現VLAN間互通，詳細配置方法不做贅述。

將FTP Server的網關設置為192.168.1.1，將PC1和PC2的網關設置為192.168.10.1，將PC3和PC4的網關設置為192.168.20.1。VLAN10、VLAN20和VLAN100內所有設備能夠互通，例如：在PC1上ping FTP Server，能夠ping通。

現在要求PC3和PC4所在網段設備能夠訪問FTP Server，PC1和PC2所在網段設備禁止訪問FTP Server。

在SwitchA上配置ACL和流策略進行隔離，192.168.10.0/24網段的設備禁止訪問FTP Server，詳細配置步驟如下：

配置完之后，我們再來驗證一下PC1是否能夠ping通FTP Server呢？

但是PC3任然可以ping同FTP Server。

OK，配置成功，大功告成。

PS：通過ACL和流策略對VLAN進行隔離，是一種非常靈活的方式，也可以對單個用戶進行隔離，ACL只要匹配單個用戶的IP即可。