vlan过滤

⑴ 简述VLAN的分隔方法有哪些

1. 基于端口划分的VLAN
这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。
对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。
2. 基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。
由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

⑵ 论述交换机、VLAN、路由器、防火墙这4种隔离技术的优缺点及关系。

交换机：属于二层设备，数据在这里的最小单位是帧（frame），每个交换机物理上都是独自一个广播域，可以认为，mac之间是可以通信的。
vlan： 也在二层设备上建立，在一个交换机上配置vlan，每个vlan所属于的所有端口，是一个广播域，可以认为是一台虚拟交换机。
路由器：路由器是三层设备，进入路由器端口，帧都被解封，看到ip，它面对的数据单位是包（packet），帧解封后就是包，它根据ip路由表，寻找出口。然后再用该端口的mac地址封装包。所以路由器可以分开广播域。
防火墙：防火墙也有路由功能，但它它会把数据包解封到传输层，也就是tcp，udp那层，它主要作用是做策略，根据用户定义策略，对属于包进行过滤。

⑶ 什么是vlan透传

6502上划分了4个vlan，加入是vlan10、vlan20、vlan30和vlan40；分配4个端口分别连接24口的交换机（以下称二层SW）。 加入分配6502的G1/1---G1/4这4个端口连接4个二层SW 6502上的配置 interface vlan 10 ip address 10.1.1.1 255.255.255.192 int...

⑷ 三层交换机上如何过滤不同vlan间的流量 让两个vlan之间不能互访～

VLAN和VLAN默认就是不能相互访问的。3层交换是通过路由来实现VLAN与VLAN的相互访问的。去掉那条路由就可以了啊。

⑸ 一台华为S5700交换机上有4个Vlan，如何设置Vlan间互通和隔离

可以使用acl过滤流量，首先在交换机上创建lanif10,20,30,40的ip地址，然后定义高级acl过滤流量。
例如vlanif 10 ip 192.168.1.1/24
vlanif20 ip 192.168.2.1/24
acl可以这样写
acl 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255
destination 192.168.2.0 0.0.0.255

然后再在vlan对应的接口下挂接acl
,例int g0/0/1
traffic-filter inbound acl 3000

这样即可实现此功能。

⑹ 配置和检验ACL以过滤VLAN间的流量，具体要怎么做

你好！

1. 题目意思就是在路由器上配置ACL，让四个VLAN不能相互之间互通而已

2. 配置命令如下：

R1

enable

configure terminal

ip access-list st vlan1_rule

deny 192.168.2.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan2_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan3_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.2.0 0.0.0.255

deny 192.168.4.0 0.0.0.255

permit any

ip access-list st vlan4_rule

deny 192.168.1.0 0.0.0.255

deny 192.168.2.0 0.0.0.255

deny 192.168.3.0 0.0.0.255

permit any

exit

interface vlan 1

ip access-group vlan1_rule out

interface vlan 2

ip access-group vlan2_rule out

interface vlan 3

ip access-group vlan3_rule out

interface valn 4

ip access-group vlan4_rule out

就这样子。依然可以和外网联通，但是VLAN间不可通讯

⑺ juniper 防火墙透明模式下支持vlan的过滤吗

一、网络环境说明，100M光纤，30M光纤用户上网使用，70M光纤服务器使用，因此使用控流交换机。
二、拓扑图

三、配置控流交换机（h3c 5024E交换机，只要配置1端口流量最大达到30M即可）

四、配置H3C ER5200路由器
1、配置静态IP地址

2、配置DHCP服务器

客户端自动获取IP即可上网
五、防火墙透明模式设置（jnuiper ssg-320m）
首先理解什么是防火墙的透明模式，就是相当于把防火墙当成交换机，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。
透明模式的优点：
1、 不需要改变已有的网络和配置
2、不需要创建映射或者虚拟的IP
3、透明模式对系统资源消耗最少
配置如下:

⑻ VLAN之间ACL和VACL的区别

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN.目前支持的VACL操作有三种：转发（forward），丢弃（drop），重定向（redirect）。
VACL很少用到，在配置时要注意以下几点：
1） 最后一条隐藏规则是deny ip any any，与ACL相同。
2） VACL没有inbound和outbound之分，区别于ACL.
3） 若ACL列表中是permit，而VACL中为drop，则数据流执行drop.
4） VACL规则应用在NAT之前。
5） 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
6） VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive.
下面使用Cisco3560交换机作为实验来详细的说明上面的陈述
网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30，vlan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24.
访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30.
（1）通过vlan之间ACL实现
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip access-group 101 in
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip access-group 102 in
!
interface Vlan30
ip address 192.168.30.1 255.255.255.0
!
ip classless
ip http server
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
（2）通过VACL实现
access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 103 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 104 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

vlan access-map test1
action forward
match ip address 103
vlan access-map test2
action forward
match ip address 104
vlan filter test1 vlan-list 10
vlan filter test2 vlan-list 20

⑼ 以下关于VLAN的叙述中，正确的是

应该是D。
A 对分组过滤，跟vlan有关系么？
B vlan二层的概念，和IP地址三层的东西无关。
C vlan二层，路由三层。
D 在交换机上通过vlan划分，PC可以在任何位置接入网络，组成逻辑的局域网。

⑽ 第二层交换机如何进行数据帧的过滤，详细说明。急，谢谢！

交换机为来了动态获悉主机的位源置，需要侦听入站帧并维护一个地址信息表（CAM表）。交换机收到帧后，检查源MAC地址，如果该地址不在地址表中，就记录该地址，以及入站端口和VLAN，并加上时间戳。如果发现该地址已移到其他端口，则更新该MAC地址和入站端口以及VLAN的映射关系，同时更新时间戳。如果该MAC的映射关系没有变化，直接更新时间戳。
入站帧还包括目标MAC地址，同样，交换机在地址表中查找该地址，如果找到，就读取相应的出站端口和VLAN。如果没有找到，就把该帧从源端口所属的VLAN中所有端口转发出去（未知单播的泛洪）。

帧的过滤，可以在端口做MAC绑定，实现入站的过滤，也就是不让交换机动态学习MAC地址，凡是不符合源MAC的数据帧直接丢弃。 还有就是用ACL做出站的过滤。 另外就是关于在交换机上部署802.1X的认证。