实验目标
1、PC1和PC3所在接口为access接口,属于VLAN 2
2、PC2/4/5/6处于同一网段
其中PC2可以访问PC4/5/6
PC4可以访问PC5不能访问PC6
PC5不能访问PC6
3、PC1/3和PC2/4/5/6不在一个网段,且可以正常通讯
4、所有PC通过DHCP获取IP地址,且PC1/3可以正常访问PC2/4/5/6
实验思路:
一、设备初始化
路由器(R - AR1):
- 清除配置:使用 reset saved - configuration 命令清除设备原有配置,然后重启设备,如 reboot 。
交换机(LSW1、LSW2、LSW3):
- 同样使用 reset saved - configuration 清除配置,再 reboot 重启设备。
二、VLAN 配置
在交换机上创建 VLAN
- 在 LSW1、LSW2、LSW3 上分别创建 VLAN 2 。以华为交换机为例,在系统视图下输入 vlan 2 。
配置 access 接口:
- 将连接 PC1 和 PC3 的接口配置为 access 接口并加入 VLAN 2 。在接口视图下(如 interface GigabitEthernet 0/0/3 ),输入 port link - type access 和 port default vlan 2 。
三、交换机间链路配置
配置 Trunk 接口:
- 交换机之间相连的接口(如 LSW1 的 GE 0/0/2 与 LSW2 的 GE 0/0/1 等)配置为 Trunk 接口,允许 VLAN 2 通过。在接口视图下输入 port link - type trunk ,然后 port trunk allow - pass vlan 2 。
四、IP 地址规划与 DHCP 配置
路由器配置 DHCP:
-
在路由器 AR1 上配置 DHCP 服务器。
-
进入接口视图(如 interface GigabitEthernet 0/0/1 ),开启 DHCP 功能 dhcp enable 。
-
配置 DHCP 地址池(如 ip pool vlan2_pool ),设置网段、网关、DNS 等参数,如 network 192.168.2.0 mask 255.255.255.0 (假设网段为 192.168.2.0/24 ), gateway - list 192.168.2.1 ,并关联到接口。
确保 PC 自动获取 IP:
- 在 PC1 - PC6 上设置为自动获取 IP 地址。
五、访问控制配置
基于 ACL 实现访问控制:
-
在交换机或路由器上配置访问控制列表(ACL)来实现 PC 间的访问控制需求。
-
例如,在连接 PC4、PC5、PC6 的交换机(如 LSW3 )上配置 ACL 。要实现 PC4 可以访问 PC5 但不能访问 PC6 ,PC5 不能访问 PC6 :
-
创建扩展 ACL (如 acl number 3000 )。
-
配置规则允许 PC4 访问 PC5 (如 rule permit ip source pc4_ip destination pc5_ip ),拒绝 PC4 访问 PC6 (如 rule deny ip source pc4_ip destination pc6_ip ),拒绝 PC5 访问 PC6 (如 rule deny ip source pc5_ip destination pc6_ip )。
-
将 ACL 应用到相关接口的出方向或入方向(如 traffic - filter outbound acl 3000 )。
六、验证测试
连通性测试:
- 在 PC1 - PC6 上使用 ping 命令测试连通性。例如,在 PC1 上 ping PC2_ip 等,验证是否满足所有需求的连通性要求。
访问控制测试:
- 从 PC4 尝试 ping PC5 和 ping PC6 ,从 PC5 尝试 ping PC6 ,验证访问控制规则是否生效。
SW-1
SW-2
SW-3
结果验证
PC1-可以正常访问PC3/PC6
PC4可以访问PC5不能访问PC6
PC5不能访问PC6
