怎样配置Isolated-User VLAN

1、       从安全考虑出发，运营商一般要求接入用户相互隔离。VLAN是天然的隔离手段，很自然的一个想法是每个用户一个VLAN。但是对于运营商来说，4094个VLAN远远不够，而且VLAN是需要三层终结，为每个只包含一个用户的VLAN进行三层终结，将耗费大量的IP地址和部署成本。Isolated-User VLAN 技术就是为解决上述问题而诞生。

1、工作原理

       H3C 的PVLAN包括两种VLAN：     

     （1）Primary VLAN，即主VLAN，用于上行设备感知的用户VLAN。     

     （2）Secondary VLAN，从VLAN，用户真正属于的VLAN。Secondary VLAN有两种类型：Community VLAN 和 Isolated VLAN。同一Community VLAN内的下行端口（又称为Community port）可以互通，同一Isolated VLAN内的下行端口（又称为Isolated port）相互隔离。       

       一个Primary VLAN可以包含多个 Secondary VLAN，Primary VLAN 和Secondary VLAN之间可以相互通讯，不同Secondary VLAN之间不能相互通讯，Community VLAN内端口之间可以相互通讯，Isolated VLAN内端口之间不能相互通讯。思科规定Primary VLAN中只能有一个 Isolated ，可以有多个 Community VLAN。建议生产环境中按规定配置。      

       华为的Mux VLAN类似，也包含两种VLAN:     

     （1）Principal VLAN，等同于Primary VLAN。     

     （2）Subordinate VLAN，等同于 Secondary VLAN。Subordinate VLAN 也有两种类型：Group VLAN (等同于 Community VLAN) 和 Separate VLAN（等同于 Isolated VLAN）。

2、H3C PVLAN 端口工作模式

        H3C 的 PVLAN 提供了四种端口工作模式：Host 工作模式、Trunk secondary 工作模式、Promiscuous 工作模式、Trunk promiscuous 工作模式。其中，Promiscuous 工作模式和 Trunk promiscuous 工作模式应用于上行端口；Host 工作模式和 Trunk secondary 工作模式应用于下行端口，与 Isolated VLAN 一起应用时具有隔离功能。通过这四种工作模式，可以对 PVLAN 的应用进行灵活组网。

3、华为 Mux VLAN端口类型

       华为 Mux VLAN 有三种端口，分别是 Principal 端口属于  Principal VLAN（主VLAN），对应 H3C 的 Promiscuous 端口，Principal port 可以和 MUX VLAN 内的所有接口进行通信。Separate 端口属于 Separate VLAN，对应 H3C 的 Host Isolated 端口，Separate port 只能和 Principal port 进行通信，和其他类型的接口实现完全隔离。Group 端口属于 Group VLAN，对应 H3C 的 Host Community 端口 ,Group port 可以和 Principal port 进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或 Separate port 通信。    

4、应用环境举例

     （1）、典型数字视频监控网络，视频存储、数字矩阵服务器接入主VLAN，视频管理平台接入Community（Group）VLAN，前端数字摄像机接入 Isolated（Separate） VLAN。这样有效隔离数字摄像机之间的广播流量，视频存储和数据矩阵又能接收前端视频的广播或组播流量，有效减少了交换机的广播流量处理。

     （2）、典型企业网络，企业服务器接入主VLAN，企业客户接入 Isolated（Separate） VLAN，企业员工接入Community（Group）VLAN，这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的

1、举例模型

2、 配置说明

      采用H3C或华为的交换机做配置，划分1口到Primary（Principal） VLAN，接入服务器。划分2、3口到Community（Group） VLAN，接入管理PC。划分4、5口到 Isolated（Separate） VLAN，接入摄像头。这样管理PC、摄像头都能和服务器互访，管理PC之间可以互访但不能访问摄像头（一般监控系统管理平台PC是访问视频矩阵获取前端摄像头视频流内容，或访问视频存储平台回放视频流内容，无需直接访问前端摄像头，减少交换机视频广播\组播流量处理）。摄像头不能访问管理PC，摄像头之间不能访问，有效隔离摄像头之间的广播/组播流量。

1、配置示意模型

       switch:

       vlan10: Primary VLAN，端口GE_0/1

       vlan11: Community VLAN，端口GE_0/2、GE_0/3

       vlan12: Isolated VLAN，端口GE_0/4、GE_0/5

2、交换机配置

（1）、执行system-view,进入配置模式。（思科是enable -- config）

（2）、创建VLAN。（思科交换机须先将VTP模式改为透明模式Transparent mode）

（3）、配置private-vlan，加入端口

（4）、针对不同接口配置不同的接口模式

3、查看配置

 dis private-vlan

 dis cu

1、配置示意模型

switch:

vlan10: Principal VLAN，端口GE_0/1

vlan11: Group VLAN，端口GE_0/2、GE_0/3

vlan12: Separate VLAN，端口GE_0/4、GE_0/5

2、交换机配置

（1）、执行system-view,进入配置模式

（2）、创建VLAN。

  (3）、配置mux-vlan，

（4）、配置接口加入vlan，并使能mux vlan 功能

3、查看配置

 dis mux-vlan

 dis cu