一、实验拓扑
二、实验要求
1、PC1/3处于同一个网段,所在接口为access,属于VLAN 2。
2、PC2/4/5/6处于同一网段。
3、PC2可以访问PC4/5/6。
4、PC4可以访问PC5,但不能访问PC6。
5、PC5不能访问PC6。
6、所有PC通过DHCP获取IP地址,且PC1/3可以正常访问PC2/4/5/6。
三、实验步骤
1、划分网段和VLAN
根据实验要求划分两个不同的网段,这里分别使用192.168.1.0/24和192.168.2.0/24网段。
网段划分:
- 192.168.1.0/24:PC1、PC3
- 192.168.2.0/24:PC2、PC4、PC5、PC6
根据实验要求,首先划分VLAN 2给PC1和PC3。其次为了方便实现访问控制,我给每台主机都配置了相应的VLAN。
VLAN划分:
- VLAN 2:PC1、PC3
- VLAN 20:PC2
- VLAN 40:PC4
- VLAN 50:PC5
- VLAN 60:PC6
2、划分接口(配置思路)
首先PC1和PC3默认为Access接口 ,为了使其能够与其它网段、其它VLAN通信,则必须通过路由器R1,因此选择在交换机与交换机之间都配置Trunk接口 ,连接PC的交换机接口要做访问控制,所以选择配置灵活的Hybrid接口,交换机与路由器之间需要另作分析。
但是要注意PC4和PC5不能访问PC6。设置允许列表:
- PC2(PVID 20):放通 20、40、50、60
- PC4(PVID 40):放通 20、40、50
- PC5(PVID 50):放通 20、40、50
- PC6(PVID 60):放通 20、60
- 其余Trunk接口:创建并放通所有VLAN
3、交换机之间的配置
为了方便实验环境的操作,可以关闭交换机的系统日志,使用以下命令:
# 在用户视图下
<SW1>undo terminal monitor(1)创建VLAN
# 三台交换机
[SW1]vlan batch 2 20 40 50 60
[SW2]vlan batch 2 20 40 50 60
[SW3]vlan batch 2 20 40 50 60(2)配置Access接口
# 交换机1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
# 交换机2
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 2(3)配置Trunk接口
# 交换机1
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type trunk
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 20 40 50 60
# 交换机2
[SW2]int g0/0/4
[SW2-GigabitEthernet0/0/4]port link-type trunk
[SW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 20 40 50 60
[SW2-GigabitEthernet0/0/3]port link-type trunk
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 20 40 50 60
# 交换机3
[SW3]int g0/0/3
[SW3-GigabitEthernet0/0/3]port link-type trunk
[SW3-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 20 40 50 60(4)配置Hybrid接口
# 交换机1
[SW1-GigabitEthernet0/0/2]port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 20 40 50 60
# 交换机2
[SW2-GigabitEthernet0/0/2]port hybrid pvid vlan 40
[SW2-GigabitEthernet0/0/2]port hybrid untagged vlan 20 40 50
# 交换机3
[SW3-GigabitEthernet0/0/1]port hybrid pvid vlan 50
[SW3-GigabitEthernet0/0/1]port hybrid untagged vlan 20 40 50
[SW3-GigabitEthernet0/0/2]port hybrid pvid vlan 60
[SW3-GigabitEthernet0/0/2]port hybrid untagged vlan 20 604、交换机与路由器之间配置
在该网络中存在两个网段,分别是192.168.1.0/24(VLAN 2)和192.168.2.0/24(VLAN 20/40/50/60)。为了处理这两个广播域的数据,需要通过路由器的不同接口进行配置。
子接口配置:子接口被用作VLAN 2的网关。这是因为VLAN 2的数据帧需要通过路由器进行跨网段、跨VLAN的通信。在交换机上,连接到路由器的接口配置为Hybrid类型,对于VLAN 2的数据帧,会打上标签后发送到路由器的子接口,从而实现VLAN 2与其他网段的通信。
物理接口配置:物理接口用于处理VLAN 20/40/50/60的数据帧。这些VLAN的数据帧在到达路由器时,会通过物理接口进入路由器。由于这些VLAN的数据帧在交换机上被配置为不携带标签,因此它们在到达路由器时被视为普通的DHCP请求,由物理接口处理并分配IP地址。这些VLAN之间的通信主要依赖于交换机的二层转发,不需要通过路由器进行跨VLAN通信,但它们仍然需要通过物理接口访问DHCP服务器以获取IP地址。
而交换机上则选择hybrid接口对数据帧配置UT标记。
(1)配置Hybrid接口
[SW1-GigabitEthernet0/0/4]port hybrid untagged vlan 20 40 50 60
[SW1-GigabitEthernet0/0/4]port hybrid tagged vlan 2(2)配置物理接口以及子接口
[R1-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 5、配置DHCP服务
(1)配置服务
[R1]dhcp enable
[R1]ip pool aa
[R1-ip-pool-aa]network 192.168.1.0 mask 24
[R1-ip-pool-aa]gateway-list 192.168.1.254
[R1-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8
[R1-ip-pool-aa]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dhcp select global
[R1]ip pool bb
[R1-ip-pool-bb]network 192.168.2.0 mask 24
[R1-ip-pool-bb]gateway-list 192.168.2.254
[R1-ip-pool-bb]dns-list 114.114.114.114 8.8.8.8
[R1-ip-pool-bb]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global(2)查看各主机IP地址获取情况
PC1:
PC2:
PC3:
PC4:
PC5:
PC6:
6、测试
(1)PC2可以访问PC4/5/6
(2)PC4可以访问PC5、不能访问PC6
(3)PC5不能访问PC6
(4)PC1可以访问PC2/4/5/6
