如何对同一VLAN下用户进行隔离呢，如果实现部分VLAN互通、部分VLAN隔离呢，如何针对某个用户、或某个网段用户进行隔离呢，下面就一一道来 。

场景一、同一VLAN下用户进行隔离

如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。

下面通过一个实验来详细讲解如何实现端口隔离：

如下图所示，三台PC属于同一VLAN、同一网段，配置完成后，三台PC都可以互访，现在要求PC1和PC2之间不能互通，PC1和PC3能够互通、PC2和PC3能够互通。

配置过程如下：

验证配置结果：

PC1 ping PC2，无法ping通。

PC1 ping PC3，可以ping通。

OK！配置成功。

场景二、部分VLAN间可以互通、部分VLAN间隔离、VLAN内用户隔离――通过MUX VLAN实现

MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。

MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN又分为Separate VLAN和Group VLAN。

• Principal VLAN可以和所有VLAN互通。

• Group VLAN可以和Principal VLAN和本VLAN内互通。

• Separate VLAN只能和Principal VLAN互通，本VLAN内不能互通。

下面通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示，由于不同的PC属于不同的部门，需要对用户进行互通和隔离。

• 要求所有PC都可以访问服务器（Server），即VLAN20和VLAN30可以访问VLAN10。

• PC1和PC2之间可以互访，和PC3、PC4不能互访，即VLAN20和VLAN30不能互访。

• PC3和PC4之间隔离，不能互访，即VLAN30内用户不能互访。

详细配置步骤如下：

OK，配置完成，让我们来验证一下配置结果吧。

所有PC都可以和Principal VLAN中的Server互通。

PC1 ping Server

PC3 ping Server

所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

PC1 ping PC2

PC1 ping PC3

Separate VLAN的PC隔离，不能互通。

PC3 ping PC4

场景三：不同VLAN互通后，如何对部分VLAN或部分用户进行隔离――通过流策略实现

流策略技术原理，就不做过多介绍了，想了解详细信息，请参见QoS手册，通过下面的例子介绍如何实现VLAN隔离。

如上图所示，FTP Server属于192.168.1.0/24网段，PC1和PC2属于192.168.10.0/24，PC3和PC4属于192.168.20.0/24网段。

假设所有VLAN已经通过VLANIF接口实现VLAN间互通，详细配置方法不做赘述。

将FTP Server的网关设置为192.168.1.1，将PC1和PC2的网关设置为192.168.10.1，将PC2和PC4的网关设置为192.168.20.1。VLAN10、VLAN20和VLAN100内所有设备能够互通，例如：在PC1上ping FTP Server，能够ping通。

现在要求PC3和PC4所在网段设备能够访问FTP Server，PC1和PC2所在网段设备禁止访问FTP Server。

在SwitchA上配置ACL和流策略进行隔离，192.168.10.0/24网段的设备禁止访问FTP Server，详细配置步骤如下：

配置完之后，我们再来验证一下PC1是否能够ping通FTP Server呢？

但是PC3任然可以ping同FTP Server。

OK，配置成功，大功告成。

PS：通过ACL和流策略对VLAN进行隔离，是一种非常灵活的方式，也可以对单个用户进行隔离，ACL只要匹配单个用户的IP即可。

原文链接：https://forum.huawei.com/enterprise/zh/thread-290173.html

好文推荐

信息收集常用的工具

几款实用的内网穿透工具

实战挖掘一个某公司网站漏洞

渗透测试报告自动生成工具 -- Savior

Spring 框架相关漏洞合集 | 红队技术

一款漏洞查找器（挖漏洞的有力工具）

神兵利器 | 分享 直接上手就用的内存马（附下载）

推荐一款自动向hackerone发送漏洞报告的扫描器

欢迎关注 系统安全运维