一、项目分析：

某公司因业务需要，现需搭建网络，具体要求如下：

1.企业内部员工同部门间可相互通信，不同部门不可通信。

2.外来访客之间不能相互通信。

3.企业内部员工和外来访客均可访问server1服务器。

4.企业内部员工和外来访客之间不可通信。

注：PC1到PC6的IP地址为：192.168.1.1—192.168.1.6  服务器IP地址为：192.168.1.40

二、拓扑图

三、具体配置如下：

LSW1：

[sw1]vlan batch 10 20 30 40
[sw1]vlan 40
[sw1-vlan40]mux-vlan        //vlan40为主VLAN
[sw1-vlan40]subordinate separate 30   //vlan30为隔离型从VLAN
[sw1-vlan40]subordinate group 10 20   //vlan10 20 为互通型从VLAN
[sw1]interface GigabitEthernet0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3] port default vlan 40
[sw1-GigabitEthernet0/0/3]port mux-vlan enable 
[sw1]interface GigabitEthernet0/0/1
[sw1-GigabitEthernet0/0/1] port link-type trunk
[sw1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30 40
[sw1]interface GigabitEthernet0/0/2
[sw1-GigabitEthernet0/0/2]port link-type trunk
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 30 40

LSW2:

[sw2]vlan batch 10 20 30 40
[sw2]vlan 40
[sw2-vlan40]mux-vlan
[sw2-vlan40]subordinate separate 30
[sw2-vlan40]subordinate group 10 20
[sw2]interface GigabitEthernet0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]port mux-vlan enable
[sw2]interface GigabitEthernet0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all

LSW2其余端口与G0/0/2端口配置相同（4、5端口须将vlan10换成vlan20）

LSW3

[sw3]vlan batch 10 20 30 40
[sw3]vlan 40
[sw3-vlan40]mux-vlan
[sw3-vlan40]subordinate separate 30
[sw3-vlan40]subordinate group 10 20
[sw3]interface GigabitEthernet0/0/2
[sw3-GigabitEthernet0/0/2]port link-type access
[sw3-GigabitEthernet0/0/2]port default vlan 30
[sw3-GigabitEthernet0/0/2]port mux-vlan enable
[sw3]interface GigabitEthernet0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan all

LSW3的GE 0/0/3端口配置与GE 0/0/2相同

四、测试：

1.企业内部员工同部门间可相互通信

2.不同部门不可通信

3.外来访客之间不能相互通信

4.企业内部员工和外来访客均可访问server1服务器

（1）内部ping服务器

（2）外部ping服务器

5.企业内部员工和外来访客之间不可通信