背景:本实验模拟某企业内部网络,有财务、市场两个部门,另有访客网络。
现需要对内网流量进行控制:
确保财务内部可以通信,市场内部可以通信,而财务与市场部不通。
确保访客内部不能通信,且访客与财务/市场都不能通信。
确保 Server1 可以与所有 PC 通信。
1. 在SW1/2/3分别创建vlan10 20 30 40
vlan40设置为mux-vlan \\mux 可与Group、Separate互通
vlan10和20设置为Group-vlan \\Group vlan10、vlan20内可通信;vlan10、vlan20间不通。
vlan30设置为Separate-vlan \\Separate vlan30内不通,与vlan10、20都不通。
SW1/2/3:
vlan batch 10 20 30 40
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
2. SW1/2/3之间使用trunk链路,仅允许vlan10 20 30 40 通过。
SW1:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
SW2:
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
SW3:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
3. SW与PC/Server之间使用access链路。
财务部划入vlan10
市场部划入vlan20
访客划入vlan30
SW1:
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable
#
SW2:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
SW3:
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
4. ping验证:
确保财务内部可以通信,市场内部可以通信,而财务与市场部不通。 确保访客内部不能通信,且访客与财务/市场都不能通信。
确保 Server1 可以与所有 PC 通信。