网段隔离的一种实现

网段隔离的一种实现
一套物理网络虚拟出多套网络

    客户中心点与多个分支点组网，每个分支点与中心点/汇聚点之间都开有一条点对点以太网专线。客户每个办公点都有多个应用，例如视频会议的、OA的、财务的等，这多个数据流之间需要彼此隔离，例如OA网段就不能访问视频会议。
    原本计划在汇聚端用汇聚口和客户设备对接，即一个物理光口里面划分多个逻辑接口，逻辑接口之间用VLAN隔离，但客户测试反馈没法实现隔离。
    后来咨询了设备厂家，给出建议，将汇聚端的汇聚口全部改为独立的物理端口，这样分支点到中心点之间全部是透明管道，里面传输的数据不管带不带VLAN、带什么VLAN，都可以双向传送；客户在中心点加三层交换机并配置ACL，每个分支点加一台二层交换机，分支点的前两个端口固定是走指定业务例如视频会议，无法和其他网段/业务互通，后面的端口固定走其他业务例如OA，也无法和其他网段/业务互通。问题解决。