一、拓扑与需求总览
1. 网段与 VLAN 规划
| 设备 | 所属 VLAN | 网段 | 网关 | 接口类型 |
|---|---|---|---|---|
| PC1 | VLAN 2 | 192.168.1.0/24 | 192.168.1.254 | LSW1 GE0/0/1 Access |
| PC3 | VLAN 2 | 192.168.1.0/24 | 192.168.1.254 | LSW2 GE0/0/1 Access |
| PC2 | VLAN 3 | 192.168.2.0/24 | 192.168.2.254 | LSW1 GE0/0/2 Hybrid |
| PC4 | VLAN 4 | 192.168.2.0/24 | 192.168.2.254 | LSW2 GE0/0/2 Hybrid |
| PC5 | VLAN 5 | 192.168.2.0/24 | 192.168.2.254 | LSW3 GE0/0/1 Hybrid |
| PC6 | VLAN 6 | 192.168.2.0/24 | 192.168.2.254 | LSW3 GE0/0/2 Hybrid |
2.设备
路由器:AR1交换机:LSW1、LSW2、LSW3终端:PC1、PC2、PC3、PC4、PC5、PC6
3.接口类型规定
- LSW1-PC1 :Access
- LSW2-PC3 :Access
- LSW1-PC2、LSW2-PC4、LSW3-PC5、LSW3-PC6 :Hybrid
- 交换机之间互联口:Trunk
- AR1 和 LSW1 互联:Hybrid
4.VLAN 与网段
- VLAN2:PC1、PC3 → 网段 192.168.1.0/24
- VLAN3:PC2
- VLAN4:PC4
- VLAN5:PC5
- VLAN6:PC6👉 VLAN3/4/5/6 同网段 192.168.2.0/24
5.访问控制要求(二层 Hybrid 隔离)
- PC2 可访问 PC4、PC5、PC6
- PC4 可访问 PC5,不能访问 PC6
- PC5 不能访问 PC6
- PC1/PC3 与 PC2/4/5/6 不同网段,可以互通(路由器三层转发)
- 所有 PC DHCP 自动获取 IP
- 隔离全部用:
port hybrid pvid vlan X+port hybrid untagged vlan 列表实现
二、核心理论
port hybrid pvid vlan X把当前接口划入 VLAN X ,相当于 Access 的port default vlanport hybrid untagged vlan A B C只允许这些 VLAN 的流量从该口发出去给 PC,剥离标签;不在列表里的 VLAN,直接二层阻断,ping 不通。- 交换机互联 Trunk:带标签转发所有 VLAN
- 路由器做单臂路由 + DHCP,实现不同网段互通、自动分配 IP
三、AR1 路由器完整配置 + 解释
dhcp enable
全局开启DHCP功能,所有接口可以下放IP地址
vlan batch 2 3 4 5 6
路由器也要创建对应VLAN,才能配置Vlanif三层接口
interface GigabitEthernet 0/0/0
port link-type hybrid
接口类型改为hybrid,对接交换机Hybrid口
port hybrid tagged vlan 2
port hybird untagged vlan 3 4 5 6
所有VLAN流量带标签通过,交给路由器三层处理
quit
VLAN2 网关 192.168.1.254
interface vlan2
ip address 192.168.1.254 255.255.255.0
dhcp select global
基于本接口网段自动分配IP
dhcp server dns-list 114.114.114.114
quit
VLAN3/4/5/6 同网段,只用Vlanif3做网关 192.168.2.254
interface Vlanif 3
ip address 192.168.2.254 255.255.255.0
dhcp select global
dhcp server dns-list 114.114.114.114
quit
解释
- 开启 DHCP → 所有 PC 自动拿 IP
- Vlanif2 做 VLAN2 网关,Vlanif3 做 VLAN3/4/5/6 共用网关
- 路由器天然有路由功能,192.168.1.0 和 192.168.2.0 自动互通,满足 PC1/3 能访问 PC2~PC6
四、LSW1 交换机完整配置 + 解释
vlan batch 2 3 4 5 6
交换机提前批量创建所有需要的VLAN
1. 接PC1:Access口 属于VLAN2
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 2
quit
2. 接PC2:Hybrid口 VLAN3
interface GigabitEthernet 0/0/2
port link-type hybrid
port hybrid pvid vlan 3
接口归属VLAN3(PC2属于VLAN3)
port hybrid untagged vlan 3 4 5 6
放行VLAN3 4 5 6 → PC2能通PC4、PC5、PC6
quit
3. 上联AR1:Hybrid口
interface GigabitEthernet 0/0/4
port link-type hybrid
port hybrid tagged vlan 2 3 4 5 6
所有VLAN带标签上行到路由器
quit
4. 下联LSW2:Trunk口
interface GigabitEthernet 0/0/4
port link-type trunk
port trunk allow-pass vlan 2 3 4 5 6
交换机之间所有VLAN带标签转发
quit
关键解释 PC2 接口
pvid vlan3:PC2 归 VLAN3untagged vlan3 4 5 6:允许 3、4、5、6 流量都能进这个口 → PC2 能访问所有人
五、LSW2 交换机完整配置 + 解释
vlan batch 2 3 4 5 6
1. 接PC3:Access口 属于VLAN2
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 2
quit
2. 接PC4:Hybrid口 VLAN4
interface GigabitEthernet 0/0/2
port link-type hybrid port hybrid pvid vlan 4
PC4归属VLAN4
port hybrid untagged vlan 3 4 5
只放行3 4 5,**不放VLAN6**
quit
3. 上联LSW1 Trunk
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 4 5 6
quit
4. 下联LSW3 Trunk
interface GigabitEthernet 0/0/4
port link-type trunk
port trunk allow-pass vlan 2 3 4 5 6 quit
关键解释 PC4 接口
只放 3 4 5,没有 6
- 能通 PC2 (V3)、PC5 (V5)
- 二层直接阻断 VLAN6 → PC4 ping 不通 PC6
六、LSW3 交换机完整配置 + 解释
vlan batch 2 3 4 5 6
1. 接PC5:Hybrid口 VLAN5
interface GigabitEthernet 0/0/1
port link-type hybrid
port hybrid pvid vlan 5
PC5归属VLAN5
port hybrid untagged vlan 3 4 5
放行3 4 5,不放6
quit
2. 接PC6:Hybrid口 VLAN6
interface GigabitEthernet 0/0/2
port link-type hybrid
port hybrid pvid vlan 6
PC6归属VLAN6
port hybrid untagged vlan 3 6
只放行3和6,**不放4、5**
quit
3. 上联LSW2 Trunk
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 4 5 6
quit
- PC5 接口 untagged 只有 3、4、5 → 能通 PC2、PC4,不通 PC6
- PC6 接口 untagged 只有 3、6
- 只允许 PC2 (V3) 访问自己
- PC4 (V4)、PC5 (V5) 不在列表 → 完全隔离