本文详细介绍了如何配置VLAN以实现不同VLAN间的隔离和访问,包括access和trunk模式的工作原理,通过R1和SW2三层交换机的配置,完成了子接口、链路聚合、ACL规则等步骤,最终实现PC间的全网互通与安全控制。
实验目标:
不同Vlan可以访问外网,vlan间互相隔离。vlan10可以管理所有vlan
实验拓扑:
access和trunk模式大致原理解析:
接收:
access收到的帧通常是不带vlanTag的,收到无tag的帧会打上vlanTag(将该端口PVID作为该tag的vlanID)
access也有可能收到带tag的帧(通常是被攻击),收到带tag的同样会将tag中的vlanID更改为该端口的PVID,因为不能转发到不同vlan端口不代表不能收不同vlan帧。可以直接理解为带tag的帧若与端口pvid不相同则不转发并丢弃。
trunk收到无tag的帧跟access一样处理,会打上vlanTag(将该端口PVID作为该tag的vlanID)
trunk收到带tag的帧则pvid保持不变
发送
access转发的出口PVID必须和该帧中的vlanID一致,否则不会转发,同时转发前移除vlanTag
trunk转发则是需要看该帧的valnID是否在转发出口的allow-pass中,在就直接转发,否则不会转发
参考文章:access与trunk收发数据包区别
大致思路:
1.首先完成ip地址的设计,不同子网的划分。交换机vlan的基本配置,接口模式设计
2.R1配置单臂路由,通过子接口实现。配置dot1q用来剥离tag,同时在转发时打上pvid,子接口开启arp广播
3.SW2做三层交换机,通过vlanif实现ip地址配置。优先完成链路聚合,实现PC3和PC4全网通
4.三层交换机接路由器用access即可,直连先打通。再完成ospf,宣告直连网段。全网打通
5.配置acl规则,实现访问控制
配置代码:
R1
[R1-GigabitEthernet0/0/0.1]dis th
interface GigabitEthernet0/0/0.1
dot1q termination vid 10
ip address 192.168.10.254 255.255.255.0
arp broadcast enable
#
[R1-GigabitEthernet0/0/0.2]dis th
interface GigabitEthernet0/0/0.2
dot1q termination vid 20
ip address 192.168.20.254 255.255.255.0
traffic-filter outbound acl 3000 //最后配置acl3000,放在接口上来生效。先不配
arp broadcast enable
#
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 192.168.1.109 255.255.255.0
#
[R1-ospf-1]dis this //配置ospf做全网打通
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
#
[R1-acl-adv-3000]dis this //最后配置的acl规则放在子接口上应用
#
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55
rule 10 deny ip
#
SW2做三层交换机
[SW2]int eth0
[SW2-Eth-Trunk0]trunkport g0/0/2
[SW2-Eth-Trunk0]trunkport g0/0/3 链路聚合
[SW2]vlan batch 30 40 100
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
interface Vlanif40
ip address 192.168.40.254 255.255.255.0
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
[SW2-Eth-Trunk0]dis this
#
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 30 40
traffic-filter outbound acl 2000 //acl规则在最后全网打通后配置
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
[SW2-ospf-1]dis this //配置ospf实现全网打通
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 10.1.1.0 0.0.0.255
#
[SW2-acl-basic-2000]dis this //acl规则最后配置
acl number 2000
rule 5 deny source 192.168.20.0 0.0.0.255
rule 10 deny source 192.168.30.0 0.0.0.255
rule 15 deny source 192.168.40.0 0.0.0.255
rule 20 permit
#
SW1
[SW1]vlan batch 10 20
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
SW3
[SW3]vlan batch 30 40
[SW3]int eth0
[SW3-Eth-Trunk0]trunkport g0/0/1
[SW3-Eth-Trunk0]trunkport g0/0/2 链路聚合
[SW3-Eth-Trunk0]dis this
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 30 40
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 40
#
主机配置见上面拓扑图即可。
测试阶段
PC1 vlan 10 测试
PC2 vlan 20 测试
PC3 vlan 30 测试
PC4 vlan 40 测试
成功实现需求。
总结
合理规划网络ip地址,理解网络拓扑架构中用到的技术点,数据包接收,发送 规则。acl入方向和出方向规则设计
路漫漫其修远兮,兄弟们下一站再见。走之前记得留下你来过的印记
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
