文章介绍了如何通过配置VLAN在数据链路层实现网络隔离,将局域网逻辑划分为vlan10和vlan20,使得同一VLAN内的主机可以二层通信,不同VLAN间则需要通过trunk端口和特定设置才能互通。通过这样的配置,限制了广播报文的范围,提高了网络安全性,并实现了A部门(vlan10)和B部门(vlan20)之间的访问控制。
VLAN部署在数据链路层,用于隔离二层流量,可以将一个物理局域网在逻辑上划分成多个广播域。
同一个VLAN内的主机共享同一个广播域,它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域,不能直接实现二层互通。这样,广播报文就被限制在各个相应的VLAN内,同时也提高了网络安全性。
如图所示,PC1、PC2、PC3、PC4同为10.1.1.0、24网段内四台主机,IP地址如图
PC1、PC2为A部门,属于vlan10;
PC3、PC4为B部门,属于vlan20。
要求只有同部门内能进行互访。IP地址如图所示。
一、在SW1上新建vlan10和vlan20,并把端口划入vlan
[SW1]vlan 10
[SW1-vlan10]vlan 20
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access /把端口1配置为access
[SW1-GigabitEthernet0/0/1]port default vlan 10 /把端口1加入vlan10
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
--------------------------------------------------------
二、在SW1上配置vlan10和vlan20,并把端口划入vlan
[SW2]vlan batch 10 20 /同时创建vlan10和vlan20
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 10
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
三、配置trunk端口,并放通vlan10、vlan20通行
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type trunk
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
四、测试
用PC1分别去pingPC2和PC3
PC1和PC2属于同个vlan10,可以正常通信
PC1和PC3间不互通
PC3和PC4同个vlan,可互通
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
