這48臺(tái)計(jì)算機(jī)分別屬于三個(gè)部門？

一個(gè)48口的交換機(jī)，每個(gè)端口都連接了一臺(tái)計(jì)算機(jī)，這48臺(tái)計(jì)算機(jī)分別屬于三個(gè)部門，如果只是需要實(shí)現(xiàn)三個(gè)部門不能相互訪問，這個(gè)問題其實(shí)比較簡(jiǎn)單的，我們只需要將三個(gè)部門劃的計(jì)算機(jī)分為不同的網(wǎng)段就可以了，如下圖所示，假設(shè)公司有三個(gè)部門分別規(guī)劃為三個(gè)網(wǎng)段，技術(shù)部192.168.1.0/24，財(cái)務(wù)部192.168.2.0/24，銷售部192.168.3.0/24。

此時(shí)我們不需要對(duì)這臺(tái)交換機(jī)做任何操作，這樣三個(gè)部門之間的計(jì)算機(jī)是不能進(jìn)行互訪的，只能在同一網(wǎng)段也就是同部門的計(jì)算機(jī)才可以通信。因?yàn)榉謩e屬于不同網(wǎng)段的計(jì)算機(jī)如果需要進(jìn)行通信是需要依靠三層網(wǎng)絡(luò)設(shè)備如路由器、三層交換機(jī)等以路由的方式去進(jìn)行實(shí)現(xiàn)的。那為了比較符合實(shí)際工作場(chǎng)景以及相關(guān)知識(shí)的完整性，我下面再進(jìn)行詳細(xì)闡述，請(qǐng)繼續(xù)往下看！

VLAN技術(shù)

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)。它是將一個(gè)物理的局域網(wǎng)在邏輯上劃分成多個(gè)廣播域的技術(shù)。通過在交換機(jī)上配置VLAN，可以實(shí)現(xiàn)在同一個(gè)VLAN內(nèi)的計(jì)算機(jī)進(jìn)行互訪，而不同VLAN間的計(jì)算機(jī)被進(jìn)行隔離不能互訪。默認(rèn)情況下交換機(jī)的所有端口屬于VLAN1，我們說交換機(jī)的工作原理，交換機(jī)是通過MAC地址表進(jìn)行二層轉(zhuǎn)發(fā)，當(dāng)技術(shù)部的一臺(tái)計(jì)算機(jī)PC1 192.168.1.1/24第一次要與PC2 192.168.1.2/24通信時(shí)，首先需要發(fā)送一個(gè)ARP查詢包以獲取到PC2的MAC地址，這個(gè)ARP查詢包目的MAC地址為“FF-FF-FF-FF-FF-FF”，以廣播泛洪地形式發(fā)送出去。此時(shí)同一默認(rèn)VLAN1下的所有主機(jī)都會(huì)收到這個(gè)廣播數(shù)據(jù)幀，我們稱它們?cè)谕粋€(gè)廣播域。也就是說雖然其他兩個(gè)部門已經(jīng)屬于不同的網(wǎng)段，但還都會(huì)收到這個(gè)PC1產(chǎn)生的ARP廣播包。

超大的廣播域會(huì)帶來大量的廣播風(fēng)暴和安全隱患，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對(duì)它進(jìn)行處理，而解決這個(gè)問題的方法就是去劃分VLAN隔離廣播域。所以我們一般的做法是不同部門會(huì)去劃分為不同的VLAN，如下所示，我們對(duì)一臺(tái)華為交換機(jī)進(jìn)行VLAN劃分。

<Huawei>system-view

[Huawei]vlan batch 10 20 30 //使用batch可批量創(chuàng)建VLAN

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type access //將端口類型配置為Access

[Huawei-Ethernet0/0/1]port default vlan 10 //將端口劃分到VLAN10

[Huawei-Ethernet0/0/1]int e0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 10

[Huawei-Ethernet0/0/2]quit

[Huawei]port-group VLAN20 //也可以定義多個(gè)端口為一組的方式一次性將VLAN劃入

[Huawei-port-group-vlan20]group-member e0/0/3 to e0/0/4

[Huawei-port-group-vlan20]port link-type access

[Huawei-port-group-vlan20]port default vlan 20

[Huawei]port-group VLAN30

[Huawei-port-group-vlan30]group-member e0/0/5 to e0/0/6

[Huawei-port-group-vlan30]port link-type access

[Huawei-port-group-vlan30]port default vlan 30

我們將三個(gè)部門劃分為三個(gè)VLAN，這樣一來不同VLAN下的計(jì)算機(jī)就不能相互通信了，即使所有的計(jì)算機(jī)都屬于同一網(wǎng)段比如都是192.168.1.0/24也是不能進(jìn)行通信的。

訪問控制列表技術(shù)

訪問控制列表簡(jiǎn)稱為 ACL（Acess Control List），它使用包過濾技術(shù)，在網(wǎng)絡(luò)設(shè)備上通過讀取數(shù)據(jù)包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

通常局域網(wǎng)中的計(jì)算機(jī)一般都是需要對(duì)外進(jìn)行訪問的，因此每臺(tái)計(jì)算機(jī)都會(huì)設(shè)置上一個(gè)網(wǎng)關(guān)IP地址。

而這個(gè)網(wǎng)關(guān)IP一般就是設(shè)置在一臺(tái)三層交換機(jī)上，如下圖所示，為了能讓三個(gè)部門的計(jì)算機(jī)能訪問互聯(lián)網(wǎng)，我們這里計(jì)算機(jī)采用連接的是一臺(tái)三層交換機(jī)，并在這臺(tái)三層交換機(jī)上配置上這三個(gè)VLAN網(wǎng)段的網(wǎng)關(guān)IP地址。

[Huawei]int Vlanif 10 //進(jìn)入VLANIF模式

[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0 //直接配置IP地址和掩碼即可

[Huawei-Vlanif10]int vlan 20

[Huawei-Vlanif20]ip address 192.168.2.254 24 //也可以直接寫掩碼位

[Huawei-Vlanif20]int vlan 30

[Huawei-Vlanif30]ip address 192.168.3.254 24

這樣雖然三個(gè)部門屬于三個(gè)網(wǎng)段VLAN，但是各計(jì)算機(jī)之間通過這臺(tái)三層交換機(jī)是可以相互進(jìn)行通信的了。

那么為了能夠?qū)崿F(xiàn)不同部門不能進(jìn)行互訪，此時(shí)我們就需要在這臺(tái)三層交換機(jī)配置訪問控制列表。配置參考如下：

[Huawei]acl 3000 //創(chuàng)建acl規(guī)則，拒絕訪問其他兩個(gè)部門

[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei]traffic classifier VLAN //創(chuàng)建名為VLAN的流分類

[Huawei-classifier-VLAN]if-match acl 3000 //將ACL與流分類關(guān)聯(lián)

[Huawei]traffic behavior VLAN //創(chuàng)建名為VLAN的流行為

[Huawei-behavior-VLAN]deny //配置流行為動(dòng)作為拒絕報(bào)文通過

[Huawei-behavior-VLAN]quit

[Huawei]traffic policy VLAN // //創(chuàng)建名為VLAN的流策略

[Huawei-trafficpolicy-VLAN]classifier VLAN behavior VLAN //將流分類VLAN與流行為VLAN關(guān)聯(lián)

[Huawei-trafficpolicy-VLAN]quit

[Huawei]traffic-policy VLAN global inbound //全局應(yīng)用流策略

配置完成后，各部門之間也就不能相互訪問了。

端口隔離技術(shù)

我們可以將不同的端口加入不同的VLAN，但這樣會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離功能，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。如下圖三個(gè)部門處于同一網(wǎng)段中，我們將每個(gè)端口加入到隔離組中。

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port-isolate enable group 5

[Huawei-Ethernet0/0/1]int e0/0/3

[Huawei-Ethernet0/0/3]port-isolate enable group 5

[Huawei-Ethernet0/0/3]int e0/0/5

[Huawei-Ethernet0/0/5]port-isolate enable group 5

這樣端口隔離的端口之間無法相互通信，所以端口隔離功能為用戶提供了更安全的方案。但是這樣雖然也實(shí)現(xiàn)了禁止不同部門的計(jì)算機(jī)相互訪問，但是同部門的計(jì)算機(jī)也是無法訪問了。

總結(jié)

以上就是在一臺(tái)48口交換機(jī)下接入計(jì)算機(jī)分別屬于三個(gè)部門，禁止各個(gè)部門間相互訪問的實(shí)現(xiàn)總結(jié)了，在實(shí)際工作中劃分VLAN并配置ACL實(shí)現(xiàn)尤為常見，關(guān)于更多網(wǎng)絡(luò)知識(shí)，歡迎大家關(guān)注咯~