VLAN技術將網絡劃分成虛擬局域網，這也是為了隔離網絡廣播，但是，在同一VLAN內的PC，仍然處在一個廣播域中，也就是說，同一VLAN內各PC之間的通信不受限制。這時，可以使用基于MAC地址的訪問控制列表，在每個端口做第二層過濾。命令如下（神州數碼S3926交換機配置命令）：

全局模式下創建訪問列表1100：

access-list 1100  permit  [Sourcemac]  [Sourcemac-wildcard bits] [Destinationmac]  [Dourcemac-wildcard bits]  
 
access-list 1100  deny    [Sourcemac]  [Sourcemac-wildcard bits] [Destinationmac]  [Dourcemac-wildcard bits] 

全局模式下將訪問列表1100應用到指定接口：

access-group   mac-acl  1100  in interface [interface name]  
 
access-group   mac-acl  1100  in interface [interface name] 

我們可以在交換機所有的接口啟用如上的訪問列表，可以做到基于MAC的精確過濾。但是，這種方法配置需要查找到每個接入PC的MAC地址并輸入到訪問列表中，比較繁瑣，同時，還有一個弊端，當PC更改MAC地址時，需要更改訪問列表規則，不然將起不到應有的作用。另外，還有這樣一些情況，PC之間不允許通信，但所有PC允許與某一服務器或網關通信，拓撲如下圖示：

實現如上的功能，使用基于MAC地址的訪問控制可以實現，但是，操作起來比較繁瑣。此時，我們可以使用私有VLAN來實現如上功能：

1、將連接服務器和路由器的交換機接口放置到VLAN 10中，設置VLAN 10為主VLAN：

switch(Config)#vlan 10  
 
switch(Config-Vlan10)#private-vlan primary 

2、將PC所在的接口放置到VLAN 20中，設置其為隔離VLAN：

switch(Config)#vlan 20  
 
switch(Config-Vlan20)#private-vlan  isolated 

3、在主VLAN 10中聯合隔離VLAN 20，以便VLAN 10內接口可以和VLAN 20內接口通信：

switch(Config-Vlan10)#private-vlan association 20 

4、安裝如上圖的IP配置，即可實現PC間不可通信，PC與網關和服務器可以通信。

 VLAN技術中的基于第二層的網絡隔離的內容就為大家介紹完了，希望大家通過以上的介紹已經深刻的理解了。

【編輯推薦】

1. 淺析PBR(基于策略的路由)
2. 淺析路由器的第二層橋接功能
3. 完全路由算法設計目標的方式分析