vlan過濾

⑴ 簡述VLAN的分隔方法有哪些

1. 基於埠劃分的VLAN
這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的，它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC（永久虛電路）埠分成若干個組，每個組構成一個虛擬網，相當於一個獨立的VLAN交換機。
對於不同部門需要互訪時，可通過路由器轉發，並配合基於MAC地址的埠過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。
從這種劃分方法本身我們可以看出，這種劃分的方法的優點是定義VLAN成員時非常簡單，只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的埠，到了一個新的交換機的某個埠，必須重新定義。
2. 基於MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬於哪個組，它實現的機制就是每一塊網卡都對應唯一的MAC地址，VLAN交換機跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。
由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基於用戶，而不是基於交換機的埠。這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用於小型區域網。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的埠都可能存在很多個VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當不容易。另外，對於使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣VLAN就必須經常配置。

⑵ 論述交換機、VLAN、路由器、防火牆這4種隔離技術的優缺點及關系。

交換機：屬於二層設備，數據在這里的最小單位是幀（frame），每個交換機物理上都是獨自一個廣播域，可以認為，mac之間是可以通信的。
vlan： 也在二層設備上建立，在一個交換機上配置vlan，每個vlan所屬於的所有埠，是一個廣播域，可以認為是一台虛擬交換機。
路由器：路由器是三層設備，進入路由器埠，幀都被解封，看到ip，它面對的數據單位是包（packet），幀解封後就是包，它根據ip路由表，尋找出口。然後再用該埠的mac地址封裝包。所以路由器可以分開廣播域。
防火牆：防火牆也有路由功能，但它它會把數據包解封到傳輸層，也就是tcp，udp那層，它主要作用是做策略，根據用戶定義策略，對屬於包進行過濾。

⑶ 什麼是vlan透傳

6502上劃分了4個vlan，加入是vlan10、vlan20、vlan30和vlan40；分配4個埠分別連接24口的交換機（以下稱二層SW）。 加入分配6502的G1/1---G1/4這4個埠連接4個二層SW 6502上的配置 interface vlan 10 ip address 10.1.1.1 255.255.255.192 int...

⑷ 三層交換機上如何過濾不同vlan間的流量 讓兩個vlan之間不能互訪～

VLAN和VLAN默認就是不能相互訪問的。3層交換是通過路由來實現VLAN與VLAN的相互訪問的。去掉那條路由就可以了啊。

⑸ 一台華為S5700交換機上有4個Vlan，如何設置Vlan間互通和隔離

可以使用acl過濾流量，首先在交換機上創建lanif10,20,30,40的ip地址，然後定義高級acl過濾流量。
例如vlanif 10 ip 192.168.1.1/24
vlanif20 ip 192.168.2.1/24
acl可以這樣寫
acl 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255
destination 192.168.2.0 0.0.0.255

然後再在vlan對應的介面下掛接acl
,例int g0/0/1
traffic-filter inbound acl 3000

這樣即可實現此功能。

⑹ 配置和檢驗ACL以過濾VLAN間的流量，具體要怎麼做

你好！

1. 題目意思就是在路由器上配置ACL，讓四個VLAN不能相互之間互通而已

2. 配置命令如下：

R1

enable

configure terminal

ip access-list st vlan1_rule

deny 192.168.2.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan2_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan3_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.2.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan4_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.2.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

permit any

exit

interface vlan 1

ip access-group vlan1_rule out

interface vlan 2

ip access-group vlan2_rule out

interface vlan 3

ip access-group vlan3_rule out

interface valn 4

ip access-group vlan4_rule out

就這樣子。依然可以和外網聯通，但是VLAN間不可通訊

⑺ juniper 防火牆透明模式下支持vlan的過濾嗎

一、網路環境說明，100M光纖，30M光纖用戶上網使用，70M光纖伺服器使用，因此使用控流交換機。
二、拓撲圖

三、配置控流交換機（h3c 5024E交換機，只要配置1埠流量最大達到30M即可）

四、配置H3C ER5200路由器
1、配置靜態IP地址

2、配置DHCP伺服器

客戶端自動獲取IP即可上網
五、防火牆透明模式設置（jnuiper ssg-320m）
首先理解什麼是防火牆的透明模式，就是相當於把防火牆當成交換機，防火牆將過濾通過的IP數據包，但不會修改IP數據包包頭中的任何信息。
透明模式的優點：
1、 不需要改變已有的網路和配置
2、不需要創建映射或者虛擬的IP
3、透明模式對系統資源消耗最少
配置如下:

⑻ VLAN之間ACL和VACL的區別

我們常說的VLAN之間的訪問控制，它的實現方式是將ACL直接應用到VLAN的虛埠上，與應用到物理埠的ACL實現方式是一樣的。而VLAN訪問控制（VACL），也稱為VLAN訪問映射表，它的實現方式與前者完全不同。它應用於VLAN中的所有通信流，支持基於ETHERTYPE和MAC地址的過濾，可以防止未經授權的數據流進入VLAN.目前支持的VACL操作有三種：轉發（forward），丟棄（drop），重定向（redirect）。
VACL很少用到，在配置時要注意以下幾點：
1） 最後一條隱藏規則是deny ip any any，與ACL相同。
2） VACL沒有inbound和outbound之分，區別於ACL.
3） 若ACL列表中是permit，而VACL中為drop，則數據流執行drop.
4） VACL規則應用在NAT之前。
5） 一個VACL可以用於多個VLAN中；但一個VLAN只能與一個VACL關聯。
6） VACL只有在VLAN的埠被激活後才會啟用，否則狀態為inactive.
下面使用Cisco3560交換機作為實驗來詳細的說明上面的陳述
網路基本情況是劃分了三個vlan：vlan10、vlan20和vlan30，vlan虛埠的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24.
訪問控制要求：vlan10和vlan20之間不能訪問，但都能訪問vlan30.
（1）通過vlan之間ACL實現
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip access-group 101 in
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip access-group 102 in
!
interface Vlan30
ip address 192.168.30.1 255.255.255.0
!
ip classless
ip http server
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
（2）通過VACL實現
access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 103 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 104 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

vlan access-map test1
action forward
match ip address 103
vlan access-map test2
action forward
match ip address 104
vlan filter test1 vlan-list 10
vlan filter test2 vlan-list 20

⑼ 以下關於VLAN的敘述中，正確的是

應該是D。
A 對分組過濾，跟vlan有關系么？
B vlan二層的概念，和IP地址三層的東西無關。
C vlan二層，路由三層。
D 在交換機上通過vlan劃分，PC可以在任何位置接入網路，組成邏輯的區域網。

⑽ 第二層交換機如何進行數據幀的過濾，詳細說明。急，謝謝！

交換機為來了動態獲悉主機的位源置，需要偵聽入站幀並維護一個地址信息表（CAM表）。交換機收到幀後，檢查源MAC地址，如果該地址不在地址表中，就記錄該地址，以及入站埠和VLAN，並加上時間戳。如果發現該地址已移到其他埠，則更新該MAC地址和入站埠以及VLAN的映射關系，同時更新時間戳。如果該MAC的映射關系沒有變化，直接更新時間戳。
入站幀還包括目標MAC地址，同樣，交換機在地址表中查找該地址，如果找到，就讀取相應的出站埠和VLAN。如果沒有找到，就把該幀從源埠所屬的VLAN中所有埠轉發出去（未知單播的泛洪）。

幀的過濾，可以在埠做MAC綁定，實現入站的過濾，也就是不讓交換機動態學習MAC地址，凡是不符合源MAC的數據幀直接丟棄。 還有就是用ACL做出站的過濾。 另外就是關於在交換機上部署802.1X的認證。