[Todo sobre Switches] Aislamiento 16Vlans

150 0 0 0

El último problema describe múltiples escenarios y modos de interacción de VLAN. Hay otra pregunta. ¿Cómo se aíslan los usuarios en una VLAN? ¿Cómo implementar la comunicación en algunas VLAN y el aislamiento en otras VLAN? ¿Cómo aislar a un usuario o usuarios en un segmento de red?

Escenario 1: ¿Cómo se aíslan los usuarios en la misma VLAN?

Puede configurar el aislamiento del puerto para implementar el aislamiento de los usuarios en la misma VLAN.

Usaré un ejemplo para explicar cómo implementar el aislamiento de puertos.

Como se muestra en la siguiente figura, tres PC pertenecen a la misma VLAN y al mismo segmento de red. Los requisitos son los siguientes:

 

·         PC1 y PC2 no pueden comunicarse entre sí.

·         PC1 y PC3 pueden comunicarse entre sí.

·         PC2 y PC3 pueden comunicarse entre sí.

 

115935gx8qbi92nxz7bonx.png

Realice las siguientes configuraciones.


115943e5okavkov6yma1jm.png


Verificar las configuraciones.

PC1 no puede hacer ping a PC2.


115950smk9pm5ukcd1jkp4.png

PC1 puede hacer ping a PC3.


120000c4w67mpu47w6dbb6.png


Las configuraciones son exitosas.

 

 Escenario 2: Para implementar la comunicación entre algunas VLAN, el aislamiento entre algunas VLAN y el aislamiento de los usuarios en una VLAN, configure la VLAN MUX.

La MUX VLAN se aplica solo a las redes de Capa 2 y se utiliza para implementar la comunicación y el aislamiento de los usuarios en el mismo segmento de red.

 

La MUX VLAN está dentro en las VLAN principales y subordinadas. La VLAN subordinada está dentro de las VLAN separadas y de grupo.

 

·         Los usuarios en la VLAN principal pueden comunicarse con los usuarios en todas las VLAN.

 

·         Los usuarios del grupo VLAN pueden comunicarse entre sí y los usuarios en la VLAN principal.

 

·         Los usuarios en la VLAN separada solo pueden comunicarse con los usuarios en la VLAN principal. Los usuarios en la VLAN separada no pueden comunicarse entre sí.

 

Usaré un ejemplo para describir cómo implementar la comunicación y el aislamiento de VLAN a través de la VLAN MUX. Como se muestra en la siguiente figura, diferentes PC pertenecen a diferentes departamentos. Los usuarios necesitan comunicarse entre sí y estar aislados.

 

·         Todas las PC pueden acceder al servidor. Es decir, los usuarios en VLAN 20 y VLAN 30 pueden comunicarse con los usuarios en VLAN 10.

·         PC1 y PC2 pueden comunicarse entre sí, y PC3 y PC4 no pueden comunicarse entre sí. Es decir, los usuarios de VLAN 20 y VLAN 30 no pueden comunicarse entre sí.

·         PC3 y PC4 están aislados entre sí. Es decir, el usuario en la VLAN 30 no puede comunicarse entre sí.

 

120014a26zqq2sr2rdrnn5.png


A continuación las configuraciones detalladas.


120039r4x5lexeej5zjjrg.png


Las configuraciones están completas. Vamos a verificar el resultado de la configuración.

Todas las PC pueden comunicarse con el servidor en la VLAN principal.

PC1 hace ping al servidor.


120045x2mvii2gwkzjmzwk.png


PC3 hace ping al servidor.



120051h074z7lzoppzgvi4.png


Las PC en todas las VLAN de grupo pueden comunicarse entre sí, pero no pueden comunicarse con las PC en la VLAN separada.

 

PC1 hace ping a PC2.


120059v4mjuizqxj8tssvt.png


PC1 hace ping a PC3.


120106te1z11q6s18hrweq.png


Las PC en la VLAN separada no pueden comunicarse entre sí.

PC3 hace ping a PC4.


120113smumcfcgwf6o2lmu.png



Escenario 3: Después de implementar la interacción de diferentes VLAN, ¿cómo aislar a los usuarios en algunas VLAN o en algunos usuarios? Se puede utilizar una política de tráfico para cumplir con este requisito.

 

La política de tráfico no se describe aquí. Para obtener más información, consulte el manual de QoS. El siguiente ejemplo se utiliza para describir cómo implementar el aislamiento de VLAN.

 

120132oelwjlza4r4remah.png


Como se muestra en la figura anterior, el servidor FTP pertenece al segmento de red 192.168.1.0/24, PC1 y PC2 pertenecen al segmento de red 192.168.10.0/24, y PC3 y PC4 pertenecen al segmento de red 192.168.20.0/24.

Supongamos que la interacción entre VLAN se implementa mediante la interfaz VLANIF. Para la configuración detallada, consulte Todos Sobre los Switches - Comunicación VLAN.

 

La dirección de la puerta de enlace (Gateway) del servidor FTP es 192.168.1.1, la dirección de la puerta de enlace de PC1 y PC2 es 192.168.10.1, y la dirección de la puerta de enlace de PC2 y PC4 es 192.168.20.1. Todos los dispositivos en VLAN 10, VLAN 20 y VLAN 100 pueden comunicarse entre sí, por ejemplo, PC1 puede hacer ping al servidor FTP.


120140fc4xlhmvp04vpbyz.png


Se requiere que los dispositivos en el segmento de red de la PC1 y PC2 puedan acceder al servidor FTP, y los dispositivos en el segmento de red de PC3 y PC4 se encuentran en el segmento de red que no puede acceder al servidor FTP.

 

Configure la ACL y la política de tráfico en SwitchA para evitar que los dispositivos en el segmento de red 192.168.10.0/24 accedan al servidor FTP. El procedimiento de configuración detallada es el siguiente.

Paso 1

Configure un ACL 2000 para denegar la IP de origen   del PC1.

120300gweeznduggsza3gt.png

Paso 2

Configure un Clasificador de Trafico C1 y haga   referencia a la ACL 2000 en ella.

120302yuu6ntoutu6wah4n.png

Paso 3

Configure una comportamiento de trafico b1 y defina   la acción de negación para paquetes de 192.168.10.11

120305ctj7jkjuigliwoic.png

Paso 4

Configure una política de trafico p1 y asocie el   clasificador de tráfico y el comportamiento de tráfico con la política de   tráfico.

120448aneu0uip010pbu05.png

 

Paso 5

Aplique la política de tráfico en la dirección de   salida de GE0/0/3 en el Switch A.

 120451h3ebaftkrz3rpprq.png


Una vez completadas las configuraciones, verifique si la PC1 puede hacer ping al servidor FTP.


120459hdzlbz2bo3bzof0j.png


PC3 aún puede hacer ping al servidor FTP.


120505a9zgbzp9d99bcx6b.png


Las configuraciones son exitosas.

La ACL y la política de tráfico son flexibles para implementar el aislamiento de VLAN. Siempre que la ACL coincida con la dirección IP de un solo usuario, el usuario puede estar aislado.

 

Los cuatro problemas describen la tecnología VLAN. Para obtener detalles de otros modos de asignación de VLAN, visite http://support.huawei.com/enterprise/productNewOffering?idAbsPath=7919710|9856733|7923144|20985028&pid=20985028.

 

Problema

Nombre

Descripción

Primer problema

[All About Switches - Beginner] VLAN Basics

Este problema describe la   definición y el propósito de la tecnología VLAN y los modos en que las   interfaces se agregan a las VLAN.

Segundo problema

[All About Switches - Beginner] VLAN Assignment

Este problema describe los   modos de asignación de VLAN y los escenarios aplicables, y describe principalmente   la configuración y el escenario de asignación basada en interfaz.

Tercer problema

[All About Switches - Beginner]

VLAN Communication

Este problema describe las   principales tecnologías y los escenarios aplicables de comunicación entre   VLAN, incluida la interfaz VLANIF, la interfaz secundaria y la super VLAN.   Este problema también describe la configuración de la interfaz VLANIF común.

Fourth issue

[All About Switches - Beginner] VLAN   Isolation

This issue   describes main technologies and applicable scenarios of VLAN isolation, such   as MUX VLAN and ACL.

 



  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión