Le dernier problème décrit plusieurs scénarios et modes d'interfonctionnement VLAN. Il y a une autre question. Comment les utilisateurs d'un VLAN sont-ils isolés ? Comment mettre en œuvre l'interfonctionnement dans certains VLAN et l'isolation dans d'autres VLAN ? Comment isoler un utilisateur ou des utilisateurs sur un segment réseau ?
Scénario 1 : Comment les utilisateurs du
même VLAN sont-ils isolés ?
Vous pouvez configurer l'isolation de port pour mettre en oeuvre l'isolation des utilisateurs dans le même VLAN.
J'utiliserai un exemple pour expliquer comment mettre en œuvre l'isolation des ports.
Comme le montre la figure suivante, trois PC appartiennent au même VLAN et au même segment de réseau. Les exigences sont les suivantes :
· PC1 et PC2 ne peuvent pas communiquer entre eux.
· PC1 et PC3 peuvent communiquer entre eux.
· PC2 et PC3 peuvent communiquer entre eux.
Effectuez les configurations suivantes.
Vérifiez les configurations.
PC1 échoue le ing au PC2
PC1 peut ping PC3
Les configurations sont couronnées de succès.
Scénario 2 : Pour mettre en œuvre
l'interfonctionnement entre certains VLAN, l'isolation entre certains VLAN et
l'isolation des utilisateurs dans un VLAN, configurez le MUX VLAN
Le MUX VLAN s'applique uniquement aux réseaux de couche 2 et est utilisé pour mettre en œuvre l'interfonctionnement et l'isolation des utilisateurs sur le même segment de réseau.
Le MUX VLAN se catégorise dans les VLAN principaux et subalternes. Le VLAN subordonné se catégorise dans les VLAN séparés et les VLAN de groupe.
· Les utilisateurs du VLAN principal peuvent communiquer avec les utilisateurs dans tous les VLAN.
· Les utilisateurs du VLAN groupe peuvent communiquer les uns avec les autres et les utilisateurs dans le VLAN principal.
· Les utilisateurs dans le VLAN séparé peuvent communiquer avec seulement les utilisateurs dans le VLAN principal. Les utilisateurs du VLAN séparé ne peuvent pas communiquer entre eux.
Je vais utiliser un exemple pour décrire comment implémenter l'interfonctionnement et l'isolation de VLAN par l'intermédiaire du MUX VLAN. Comme le montre la figure suivante, les différents PC appartiennent à différents départements. Les utilisateurs doivent communiquer entre eux et être isolés.
· Tous les PC peuvent accéder au serveur, c'est-à-dire que les utilisateurs du réseau VLAN 20 et du VLAN 30 peuvent communiquer avec les utilisateurs de 10 VLAN.
· PC1 et PC2 peuvent communiquer entre eux, et PC3 et PC4 ne peuvent pas communiquer entre eux, c'est-à-dire que les utilisateurs de VLAN 20 et VLAN 30 ne peuvent pas communiquer entre eux.
· PC3 et PC4 sont isolés les uns des autres, c'est-à-dire que l'utilisateur dans VLAN 30 ne peut pas communiquer entre eux.
Les configurations détaillées sont les suivantes.
|
1ér étape |
Créer VLAN 10, VLAN 20, et VLAN 30
|
|
2éme étape |
Configurer VLAN 10 comme le VLAN principal, VLAN 20 comme le VLAN group, et VLAN 30 comme le VLAN séparé.
|
|
3éme étape |
Ajouter
GE0/0/1 de le serveur au VLAN principal et activer MUX VLAN. |
|
4éme étape |
Ajouter PC1 et PC2 au group VLAN 20, activer MUX VLAN, et ajouter PC3 et PC4 au VLAN 30 séparé.
|
Les configurations sont complètes. Vérifions le résultat de la configuration.
v Tous les PC peuvent communiquer avec le serveur dans le VLAN principal.
PC1 ping le serveur.
PC3 ping le serveur.
v Les PC dans tous les VLAN de groupe peuvent communiquer entre eux, mais ne peuvent communiquer avec des PC dans le VLAN séparé.
PC1 ping PC2.
PC1 ping PC3.
v Les PC dans le VLAN séparé ne peuvent pas communiquer entre eux.
PC3 ping PC4.
Scénario 3 : Après l'interfonctionnement
de différents VLAN est implémenté, comment isoler les utilisateurs dans
certains VLAN ou certains utilisateurs ? Une politique de trafic peut être
utilisée pour répondre à cette exigence.
Le principe de la politique de trafic n'est pas décrit ici. Pour savoir plus, consultez le manuel de QoS. L'exemple suivant est utilisé pour décrire comment mettre en œuvre l'isolation VLAN.
Comme indiqué dans la figure précédente, le serveur FTP appartient au segment réseau 192.168.1.0/24 ; PC1 et PC2 appartiennent au segment de réseau to 192.168.10.0/24, les and PC3 et PC4 appartiennent au segment réseau to 192.168.20.0/24.
Supposons que l'interfonctionnement entre les VLAN est implémenté à l'aide de l'interface VLANIF. Pour la configuration détaillée, voir la communication «Tous sur les commutateurs –Communication de VLAN».
L'adresse de passerelle du serveur FTP est fixée à 192.168.1.1. L'adresse de passerelle de PC1 et PC2 est définie à 192.168.10.1 et l'adresse de passerelle de PC2 et PC4 est définie à 192.168.20.1. Tous les dispositifs dans les VLAN 10, VLAN 20 et VLAN 100 peuvent communiquer les uns avec les autres, par exemple PC1 peut effectuer le ping sur le serveur FTP.
Il est nécessaire que les dispositifs sur le segment réseau de PC1 et PC2 puissent accéder au serveur FTP et les dispositifs sur le segment réseau des PC3 et PC4 résidus sur un segment réseau empêché d'accéder au serveur FTP.
Configurez l'ACL et la politique de trafic sur SwitchA pour empêcher les périphériques sur le segment réseau 192.168.10.0/24 d'accéder au serveur FTP. La procédure de configuration détaillée est la suivante.
|
1ér étape |
Configurer ACL 2000 pour nier l’adresse IP source de PC1.
|
|
2éme étape |
Configurer le classificateur de trafic C1 et faire référence à ACL 2000.
|
|
3éme étape |
Configurer le comportement de trafic b1
et définir l’action de refus sur les paquets de 192.168.10.11 |
|
4éme étape |
Configurer une politique de trafic p1 et l’associe avec le classificateur de trafic et le comportement de trafic.
|
|
5éme étape |
Appliquer la politique de trafic sur la direction sortante de GE0/0/3 de commutateur A.
|
Une fois les configurations terminées, vérifiez si PC1 peut effectuer le ping sur le serveur FTP.
PC3 peut toujours ping le serveur FTP.
Les configurations sont couronnées de succès.
L'ACL et la politique de trafic sont flexibles pour mettre en œuvre l'isolation VLAN. Tant que l'ACL correspond à l'adresse IP d'un seul utilisateur, l'utilisateur peut être isolé.
|
Problème |
Nom |
Description |
|
Premier numéro |
[Tout sur les commutateurs - Débutant] VLAN Bases |
Ce problème décrit la définition et le but de la technologie VLAN et les modes dans lesquels des interfaces sont ajoutées aux VLAN. |
|
Deuxième numéro |
[Tout sur les commutateurs - Débutant] Affectation VLAN |
Ce problème décrit les modes d'affectation VLAN et les scénarios applicables, et décrit principalement la configuration et le scénario de l'affectation basée sur l'interface. |
|
Troisième question |
[Tout sur les commutateurs - Débutant] Communication VLAN
|
Ce problème décrit les principales technologies et les scénarios applicables de la communication inter-VLAN, y compris l'interface VLANIF, la sub-interface, et le super-VLAN. Ce problème décrit également la configuration commune d'interface commune VLANIF. |
|
Quatrième question |
[Tout sur les commutateurs - Débutant] Isolation VLAN |
Ce problème décrit les principales technologies et les scénarios applicables de l'isolation VLAN, tels que le VLAN MUX et l'ACL. |
Les
quatre questions décrivent la technologie VLAN. Pour plus de détails sur
d'autres modes d'affectation VLAN, visitez http://support.huawei.com/enterprise/productNewOffering?idAbsPath=7919710|9856733|7923144|20985028&pid=20985028.
