网络拓扑图如下:
根据需求在汇聚交换机S5710上开启DHCP,创建VLAN100和VLAN200,并设定接口IP地址分别为192.168.1.254/24和192.168.2.254/24;接入交换机S3700-SW2和S3700-SW3创建VLAN100,接入交换机S3700-SW4创建VLAN200。
[SW1]dhcp enable[SW1]vlan batch 100 200[SW1]interface Vlanif 100[SW1-Vlanif100]ip address 192.168.1.254 24[SW1]interface Vlanif 200[SW1-Vlanif200]ip address 192.168.2.254 24[SW2]vlan 100[SW3]vlan 100[SW4]vlan 200配置汇聚交换机S5700的下行端口G0/0/1、G0/0/2和G0/0/3为trunk接口,对应接入交换机S3700接口G0/0/1端口为trunk接口,并将S3700接入交换机的下行端口配置为access接口,保证二层互通。
汇聚交换机S5700:
[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/3[SW1-port-group]port link-type trunk [SW1-port-group]port trunk allow-pass vlan all 接入交换机S3700:
[SW2]interface GigabitEthernet 0/0/1[SW2-GigabitEthernet0/0/1]port link-type trunk[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all [SW2]interface Ethernet 0/0/1[SW2-Ethernet0/0/1]port link-type access[SW2-Ethernet0/0/1]port default vlan 100分别在两个vlanif接口下开启接口DHCP,下面的终端可以获取到IP地址,得到的结果是,这两个接口下的终端是可以互通的.
[S7700]int vlan 100[S7700-Vlanif100]dhcp select interface[S7700]int vlan 200[S7700-Vlanif200]dhcp select interface可以看到PC1、PC2和PC3分别获得到地址. 验证互通性,可以发现PC1和PC2、PC3都是互通,然而,通常我们希望不同VLAN下的终端是不能互通的。
分析与对策
因为PC可以看做都是直连到汇聚交换机SW1上的,所以可以互通。SW1和(SW2,SW3,SW4)之间是Trunk,SW2,SW3,SW4与PC都是access。SW1上的GE0/0/1是trunk方式加入vlan100的,acl需要匹配vlan100报文,而转发到SW2的报文是untag类型的,所以匹配不上。可以在SW1上把vlan100打上。
[SW1]acl number 3002[SW1-acl-adv-3002]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255[SW1-acl-adv-3002]q[SW1]traffic classifier 1 operator and [SW1-classifier-1]if-match vlan-id 100[SW1-classifier-1]if-match acl 3002[SW1-classifier-1]q [SW1]traffic behavior 1[SW1-behavior-1]deny [SW1-behavior-1]q[SW1]traffic policy 1 [SW1-trafficpolicy-1]classifier 1 behavior 1[SW1]traffic-policy 1 global inbound 处理结果
应用流策略实现了不同VLAN的隔离,从而实现PC1、PC2可以互通,和PC3不能互通的目的。同样的问题有很多的解决方法,交换机开启DHCP之后,分别在两个vlanif接口下开启接口DHCP,得到的结果是这两个VLAN接口下的终端是可以互通的,然而通常我们希望VLAN是不能互通的,本案例考虑使用流策略实现了接口DHCP下不同VLAN互通的问题。
欢迎添加我头条号。欢迎关注、转发、评论、收藏。或者私信我一起讨论学习。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
