1.VLAN 基础划分:PC1、PC3 为 Access 接口,属于 VLAN 2;PC2、PC4、PC5、PC6 处于同一网段,分别对应 VLAN 3-6。

2.访问控制规则

PC2 可访问 PC4、PC5、PC6;

PC4 可访问 PC5,但无法访问 PC6;

PC5 无法访问 PC6;

PC1、PC3 可正常访问 PC2、PC4、PC5、PC6。

3.IP 地址分配:所有 PC 通过 DHCP 服务自动获取 IP 地址,路由器作为 DHCP 服务器,为 VLAN 2 和 VLAN 3-6 分配不同网段地址。

4.[SW1] vlan batch 2 to 6 [SW2] vlan batch 2 to 6 [SW3] vlan batch 2 to 6

5.将 PC1、PC3 对应的接口配置为 Access 模式加入 VLAN 2:

# SW1配置

[SW1-GigabitEthernet0/0/2] port link-type access

[SW1-GigabitEthernet0/0/2] port default vlan 2

# SW2配置 [SW2-GigabitEthernet0/0/3] port link-type access

[SW2-GigabitEthernet0/0/3] port default vlan 2

6. Hybrid 接口配置(PC2、PC4、PC5、PC6)

通过 Hybrid 接口的 PVID 与 Untagged 列表配置,实现同网段内的访问控制:

7.SW1-G0/0/3(PC2,VLAN 3):允许 VLAN 3-6 数据以 Untagged 方式转发,保障 PC2 可访问所有同网段设备:

[SW1-GigabitEthernet0/0/3] port link-type hybrid

[SW1-GigabitEthernet0/0/3] port hybrid pvid vlan 3

[SW1-GigabitEthernet0/0/3] port hybrid untagged vlan 3 to 6

8.SW2-G0/0/4(PC4,VLAN 4):允许 VLAN 3-5 数据以 Untagged 方式转发,禁止 VLAN 6,保障 PC4 可访问 PC2、PC5,无法访问 PC6

[SW2-GigabitEthernet0/0/4] port link-type hybrid

[SW2-GigabitEthernet0/0/4] port hybrid pvid vlan 4

[SW2-GigabitEthernet0/0/4] port hybrid untagged vlan 3 to 5

9.SW3-G0/0/2(PC5,VLAN 5):允许 VLAN 3-5 数据以 Untagged 方式转发,禁止 VLAN 6,保障 PC5 可访问 PC2、PC4,无法访问 PC6:

[SW3-GigabitEthernet0/0/2] port link-type hybrid

[SW3-GigabitEthernet0/0/2] port hybrid pvid vlan 5

[SW3-GigabitEthernet0/0/2] port hybrid untagged vlan 3 to 5

10.SW3-G0/0/3(PC6,VLAN 6):仅允许 VLAN 3、6 数据以 Untagged 方式转发,保障 PC6 仅可访问 PC2:

[SW3-GigabitEthernet0/0/3] port link-type hybrid

[SW3-GigabitEthernet0/0/3] port hybrid pvid vlan 6

[SW3-GigabitEthernet0/0/3] port hybrid untagged vlan 3 6

11.交换机之间的级联接口配置为 Trunk 模式,允许所有 VLAN 数据通过:

# SW1与SW2级联 [SW1-GigabitEthernet0/0/4] port link-type trunk

[SW1-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 6

# SW2与SW3级联 [SW2-GigabitEthernet0/0/1] port link-type trunk

[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 6

[SW2-GigabitEthernet0/0/2] port link-type trunk

[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 6

# SW3与SW2级联 [SW3-GigabitEthernet0/0/1] port link-type trunk

[SW3-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 6

12.SW1 连接路由器的接口配置为 Hybrid 模式,区分 Tagged/Untagged 数据转发,适配单臂路由场景:

[SW1-GigabitEthernet0/0/1] port link-type hybrid

[SW1-GigabitEthernet0/0/1] port hybrid untagged vlan 3 to 6

[SW1-GigabitEthernet0/0/1] port hybrid tagged vlan 2

二、路由器配置

1.# 物理接口配置 [R1-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0

# 子接口终结VLAN 2 [R1-GigabitEthernet0/0/0.1] dot1q termination vid 2

[R1-GigabitEthernet0/0/0.1] ip address 192.168.2.1 255.255.255.0

2.创建两个地址池,分别为 VLAN 2 和 VLAN 3-6 分配 IP 地址,并配置 DNS 服务器

# VLAN 3-6地址池 [R1] ip pool aa [R1-ip-pool-aa] network 192.168.1.0 mask 255.255.255.0

[R1-ip-pool-aa] gateway-list 192.168.1.1 [R1-ip-pool-aa] dns-list 114.114.114.114 # VLAN 2地址池 [R1] ip pool bb

[R1-ip-pool-bb] network 192.168.2.0 mask 255.255.255.0

[R1-ip-pool-bb] gateway-list 192.168.2.1

[R1-ip-pool-bb] dns-list 114.114.114.114

# 接口启用DHCP全局模式 [R1-GigabitEthernet0/0/0] dhcp select global

[R1-GigabitEthernet0/0/0.1] dhcp select global

三、功能测试

(一)DHCP 地址分配测试

所有 PC 通过 DHCP 成功获取 IP 地址,地址分配结果如下:

PC1(VLAN 2):192.168.2.254,网关 192.168.2.1;

PC3(VLAN 2):192.168.2.253,网关 192.168.2.1;

PC2(VLAN 3):192.168.1.252,网关 192.168.1.1;

PC4(VLAN 4):192.168.1.251,网关 192.168.1.1;

PC5(VLAN 5):192.168.1.250,网关 192.168.1.1;

PC6(VLAN 6):192.168.1.249,网关 192.168.1.1。

(二)访问控制规则测试

  1. PC2 访问 PC4、PC5、PC6:通过 ping 测试,PC2 与 PC4、PC5、PC6 的通信均正常,丢包率为 0,验证 PC2 可访问所有同网段设备;
  2. PC4 访问 PC5、PC6:PC4 ping PC5(192.168.1.250)通信正常,ping PC6(192.168.1.249)显示 “目标主机不可达”,验证 PC4 仅可访问 PC5;
  3. PC5 访问 PC6:PC5 ping PC6 显示 “请求超时”,验证 PC5 无法访问 PC6;
  4. PC1、PC3 访问所有设备:PC1、PC3 ping PC2、PC4、PC5、PC6 均正常,验证跨网段通信正常。

SW1配置:

sysname SW1

vlan batch 2 to 6

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

interface GigabitEthernet0/0/3

port link-type hybrid port hybrid

pvid vlan 3 port hybrid untagged vlan 3 to 6

interface GigabitEthernet0/0/4

port link-type trunk port trunk

allow-pass vlan 2 to 6

interface GigabitEthernet0/0/1

port link-type hybrid

port hybrid untagged vlan 3 to 6

port hybrid tagged vlan 2

SW2配置:

sysname SW2 vlan batch 2 to 6

interface GigabitEthernet0/0/3

port link-type access

port default vlan 2

interface GigabitEthernet0/0/4

port link-type hybrid

port hybrid pvid vlan 4

port hybrid untagged vlan 3 to 5

interface GigabitEthernet0/0/1

port link-type trunk port trunk

allow-pass vlan 2 to 6

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 2 to 6

SW3配置:

sysname SW3

vlan batch 2 to 6

interface GigabitEthernet0/0/2

port link-type hybrid

port hybrid pvid vlan 5

port hybrid untagged vlan 3 to 5

interface GigabitEthernet0/0/3

port link-type hybrid

port hybrid pvid vlan 6

port hybrid untagged vlan 3 6

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 6

R1配置:

sysname R1

dhcp enable

ip pool aa

network 192.168.1.0 mask 255.255.255.0

gateway-list 192.168.1.1

dns-list 114.114.114.114

ip pool bb network 192.168.2.0 mask 255.255.255.0

gateway-list 192.168.2.1 dns-list 114.114.114.114

interface GigabitEthernet0/0/0

ip address 192.168.1.1 255.255.255.0

dhcp select global

interface GigabitEthernet0/0/0.1

dot1q termination vid 2

ip address 192.168.2.1 255.255.255.0

dhcp select global

# 网络
Logo
openEuler 社区

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐

cover

log4j2(CVE-2021-44228)漏洞原理与漏洞复现(基于vulhub)

avatar openEuler 社区

内网渗透-理解域认证之Kerberos协议认证

Kerberos认证协议是一种网络身份验证机制,主要由客户端、服务端和密钥分发中心(KDC)组成。KDC包含认证服务器(AS)和票据授予服务器(TGS)。认证过程分为三个阶段:首先客户端与AS通信获取票据授予票据(TGT);然后使用TGT与TGS交互获得服务票据(ST);最后客户端通过ST与服务端建立安全连接。整个过程通过加密的时间戳和会话密钥确保通信安全,防止身份伪造。Kerberos实现了双向

avatar openEuler 社区
cover

【网络基础知识】深入浅出互联网底层:从 BGP 协议、ASN 食物链到大厂的省钱暗战

avatar openEuler 社区