网络精通-VLAN的高级配置之super_VLAN、相同VLAN的端口隔离

332、super-VLAN：

在一些用户相对较密集的地方，需要进行二层隔离，如果划分多个VLAN，使用多个网段，就会比较浪费IP地址，因此就需要用户不同一个VLAN内，但是使用相同的网段以及I网关；

333、实验：super-VLAN：

配置要求：配置super-VLAN，使得不同的VLAN在同一个网段，使用相同的网关；

实验topo:

实验配置：

①分别将G0/0/1、G0/0/2划分至VLAN 10，G0/0/3、G0/0/4划分至VLAN 20

#

VLAN batch 10 20 30

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 20

#

interface GigabitEthernet0/0/4

 port link-type access

 port default vlan 20

#

②将VLAN 30 设置为聚合VLAN（super-VLAN），并制定VLAN 10 、VLAN 20 为子VLAN；

#

vlan 30

 aggregate-vlan

 access-vlan 10 20

#

③查看VLAN划分：

④给交换机的VLAN30 配置一个IP地址作为VLAN 10 、VLAN 20 的网关：

#

interface Vlanif30

 ip address 192.168.1.1 255.255.255.0

#

⑤查看实验结果：

实现不同的VLAN之间做二层隔离，但是不同的VLAN之间使用的是同一个网关，节省了IP地址；

334、实验：相同VLAN的端口隔离

335、相同VLAN的端口隔离的工作原理：

在同一个VLAN里面，将需要隔离的接口划分至同一个隔离组中，相同隔离组的端口是不可以互相访问的；

例如：把运维人员和服务器划分至同一个隔离组中，服务器与运维人员就不可以互相访问了，只能先登录上堡垒机才可以对服务器做运维；

tips :同一个接口可以划分多个隔离组；

实验需求：

所有的接口都属于VLAN 10 ，使用的嗾使192.168.10.0/24网段，但是第三方的运维人员不能直接访问数据库服务器；

正式的员工和堡垒机都是可以直接访问数据库服务器；

实验topo：

实验步骤：

将交换机的接口都划分至VLAN 10 中

一起划分多个接口：

#

port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4

port link-type access

port default vlan 10

#

将运维人员的接口和服务器的接口加入同一个隔离组 1

#

interface GigabitEthernet0/0/2

 port-isolate enable group 1           开启端口隔离，并加入隔离组1

#

#

interface GigabitEthernet0/0/4

 port-isolate enable group 1

#

tips：默认情况下 开启端口隔离都会被加入到隔离组1

查看实验结果：

运维以和局域网中的其他用户互访，但是不可以与服务器互访，因此运维人员需要先登录堡垒机才可以访问服务器；