VLAN技術(shù)將網(wǎng)絡(luò)劃分成虛擬局域網(wǎng)，這也是為了隔離網(wǎng)絡(luò)廣播，但是，在同一VLAN內(nèi)的PC，仍然處在一個廣播域中，也就是說，同一VLAN內(nèi)各PC之間的通信不受限制。這時，可以使用基于MAC地址的訪問控制列表，在每個端口做第二層過濾。命令如下（神州數(shù)碼S3926交換機配置命令）：

全局模式下創(chuàng)建訪問列表1100：

access-list 1100  permit  [Sourcemac]  [Sourcemac-wildcard bits] [Destinationmac]  [Dourcemac-wildcard bits]  
 
access-list 1100  deny    [Sourcemac]  [Sourcemac-wildcard bits] [Destinationmac]  [Dourcemac-wildcard bits] 

全局模式下將訪問列表1100應(yīng)用到指定接口：

access-group   mac-acl  1100  in interface [interface name]  
 
access-group   mac-acl  1100  in interface [interface name] 

我們可以在交換機所有的接口啟用如上的訪問列表，可以做到基于MAC的精確過濾。但是，這種方法配置需要查找到每個接入PC的MAC地址并輸入到訪問列表中，比較繁瑣，同時，還有一個弊端，當PC更改MAC地址時，需要更改訪問列表規(guī)則，不然將起不到應(yīng)有的作用。另外，還有這樣一些情況，PC之間不允許通信，但所有PC允許與某一服務(wù)器或網(wǎng)關(guān)通信，拓撲如下圖示：

實現(xiàn)如上的功能，使用基于MAC地址的訪問控制可以實現(xiàn)，但是，操作起來比較繁瑣。此時，我們可以使用私有VLAN來實現(xiàn)如上功能：

1、將連接服務(wù)器和路由器的交換機接口放置到VLAN 10中，設(shè)置VLAN 10為主VLAN：

switch(Config)#vlan 10  
 
switch(Config-Vlan10)#private-vlan primary 

2、將PC所在的接口放置到VLAN 20中，設(shè)置其為隔離VLAN：

switch(Config)#vlan 20  
 
switch(Config-Vlan20)#private-vlan  isolated 

3、在主VLAN 10中聯(lián)合隔離VLAN 20，以便VLAN 10內(nèi)接口可以和VLAN 20內(nèi)接口通信：

switch(Config-Vlan10)#private-vlan association 20 

4、安裝如上圖的IP配置，即可實現(xiàn)PC間不可通信，PC與網(wǎng)關(guān)和服務(wù)器可以通信。

 VLAN技術(shù)中的基于第二層的網(wǎng)絡(luò)隔離的內(nèi)容就為大家介紹完了，希望大家通過以上的介紹已經(jīng)深刻的理解了。

【編輯推薦】

1. 淺析PBR(基于策略的路由)
2. 淺析路由器的第二層橋接功能
3. 完全路由算法設(shè)計目標的方式分析