实验内容
某企业二层网络使用两台S3700交换机S1和S2,且两台设备在不同的楼层。网络管理员规划了3个不同VLAN, HR部门使用VLAN 10,市场部门使用VLAN20, IT部门使用VLAN 30。在需要让处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信; IT 部门可以访问任意部门。可以通过配置Hybrid接口来实现较复杂的VLAN控制。
实验拓扑
实验编址
实验步骤
1、完成配置后,测试主机间的连通性
在PC1上使用ping命令
主机之间通信正常,其他主机测试过程省略
在没有定义VLAN及接口类型之前,默认情况下,交换机上所有接口都是Hybrid类型,接口的PVID是VLAN 1,即所有接口收到没有标签的二层数据帧,都被转发到VLAN1中,并继续以Untagged的方式把帧发送至同为VLAN 1的其他接口。所以,即使未做任何配置,主机之间默认仍然可以互相通信。
查看接口默认类型
查看接口和所属VLAN的对应关系
可以观察到,所有接口都默认属于VLAN 1,其他交换机也都一样,因此VLAN 1内所有的主机都可以访问
2、实现组内通讯,组间隔离
交换机接口的类型可以是Access、Trunk 和Hybrid。Access 类型的接口仅属于一个VLAN,只能接收、转发相应VLAN的帧;而Trunk类型接口则默认属于所有VLAN, 任何Tagged帧都能经过Trunk接收和转发; Hybrid类型接口则介于二者之间,可自主定义端口上能接收和转发哪些VLAN Tag的帧,并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型接口是Hybrid类型接口的两个特例,一个仅支持一一个 VLAN的传递,一个默认支持所有VLAN的传递,而Access类型和Trunk类型的接口能做到的,Hybrid接口都能做到。
目前要求实现HR部门和市场部门的员工终端可以进行部门内部通信,即VLAN10内PC-2和PC-4之间可以自由访问,VLAN20内PC-1和PC-3之间可以自由访问,而两个部门间的员工不能互相访问,即VLAN 10和VLAN 20之间不能互相访问。要实现此需求,可以使用Access和Trunk的配置方法,也可以仅使用Hybrid的配置方法。
使用Trunk和Access类型接口的配置过程如下。
将S1上的E 0/0/2和S2上的E 0/0/2配置为Access类型,并将相应的接口加入到VLAN 20。同理,将S1上的E 0/0/3和S2.上的E 0/0/3也配置为Access类型接口,并加入到VLAN 10。而交换机之间的互连链路的两个E 0/0/1接口则配置为Trunk类型。
配置完成后,查看接口和VLAN的对应关系
在PC1上测试与PC3和VLAN10内的PC机的连通性
S1的E 0/0/2接口连接PC-1主机,该接口收到的PC-1发送的Untagged的帧会被交换机转发到VLAN 20。同样,交换机从其他接口收到VLAN 20的发往PC-1的帧也会以Untagged的式从E 0/0/2 接口发送。S1的E 0/0/3 接口连接PC-2主机,该接口收到Untagged的帧会被转发到VLAN 10。如果交换机收到的VLAN 10的发往PC-2的帧也会以Untagged的方式从接口E 0/0/3发送。VLAN 10和VLAN 20的帧也要经过交换机间链路发送至邻居交换机S2。反之,S1收到来自邻居交换机S2的Tagged的帧后,也会根据VLAN Tag转发到相应的VLAN
在S1的E 0/0/2接口.上使用undo port default vlan命令用来恢复接口默认VLAN。
配置port link-type hybrid命令修改接口类型为默认的Hybrid类型。
配置port hybrid untagged vlan 20命令使得交换机在该接口转发VLAN 20的帧时,剥离掉相应的VLAN Tag 20,以Untagged的方式发送给PC。
配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLANID,即使得该端口,上接收到PC发来的未带VLAN Tag的帧时,加上VLAN Tag20,并转发到VLAN 20。
同样在连接另一台终端的E 0/0/3接口做同样配置。
在连接交换机S2的E 0/0/1接口上修改端口类型为默认的Hybrid类型,并使用port hybrid tagged vlan 10 20命令设置该链路仅接收带有VLANTag10和20的帧,而交换机也仅转发VLAN 10和VLAN 20的帧到该链路。一般该命令配置在交换机互连的链路接口之上。
S2交换机将在E 0/0/1接口接收到的Tagged帧,根据VLAN Tag标识,向接口E 0/0/2转发VLAN20的帧,向接口E0/0/3转发VLAN30的帧。反之,接口E0/0/2接收到PC发送的未带Tag的帧转发到VLAN 20,端口E 0/0/3接收的到未带Tag的帧会被转发到VLAN 10,并且这些帧发送到邻居交换机S1时,会保留原有Tag。
S2的配置类似于S1
配置完成后,查看使用Hybrid配置下接口和VLAN的对应关系
3、实现网管员对所有网络的访问
要求实现VLAN30对VLAN10和VLAN20的访问,但VLAN10和VLAN20之间不允许相互访问,这就要求接口同时属于多个VLAN,且端口所连设备是PC,不能识别带VLAN Tag帧,所以要用Hybrid类型的接口。
配置S1交换机,E 0/0/4接口是网络管理员的PC终端,属于VLAN 30,该接口收到的PC发送的Untagged帧要能够发送至VLAN 30中,配置port hybrid pvid vlan 30命令设置Untagged帧加入至VLAN 30。
因为在华为交换上,默认所有接口都为Hybrid 类型接口,所以在该接口下不需要修改配置。S1交换机收到VLAN10、VLAN20和VLAN30的帧也要能够从该接口发送至PC,配置port hybrid untagged vlan 10 20 30命令使得上述3个VLAN的帧会以Untagged的方式从该接口发送出去。
同理,端口E0/0/2接PC-1,接口收到PC的Untagged帧需要发送至VLAN20,使用port hybrid pvid vlan 20命令。E 0/0/2接口同时也要能够被VLAN 30和.VLAN 20的主机访问,即VLAN 20和30的帧能够从该接口发送出去,并以Untagged的方式发送至PC-1。接口E0/0/3收到Untagged的帧需发送至VLAN10,同时VLAN10和30的帧要能才能该接口发送出去。
测试PC5与各PC之间的连通性,证明PC5可以与其他PC之间连通
PC1与PC2、3、4之间的连通性,证明同部门可以连通,不同部门不能访问
PC1与PC5之间的连通性,可以正常通信。
