VLAN技术与应用的配置举例

转载

wg_FBiBBcEB 2019-06-29 10:01:40

文章标签 number 2 文章分类 网络安全

一、组网需求如图1所示，Host A和Host C属于部门A，但是通过不同的设备接入公司网络；Host B和Host D属于部门B，也通过不同的设备接入公司网络。为了通信的安全性，以及避免广播报文泛滥，公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100，部门B使用VLAN 200。现要求同一VLAN内的主机能够互通，即Host A和Host C能够互通，Host B和Host D能够互通。图1 基于端口的VLAN组网图

二、配置步骤 (1) 配置Device A #批量配置接口GigabitEthernet2/1/1～GigabitEthernet2/1/3工作在二层模式。 <DeviceA> system-view [DeviceA] interface range gigabitethernet 2/1/1 to gigabitethernet 2/1/3 [DeviceA-if-range] port link-mode bridge [DeviceA-if-range] quit #创建VLAN 100，并将GigabitEthernet2/1/1加入VLAN 100。 [DeviceA] vlan 100 [DeviceA-vlan100] port gigabitethernet 2/1/1 [DeviceA-vlan100] quit #创建VLAN 200，并将GigabitEthernet2/1/2加入VLAN 200。 [DeviceA] vlan 200 [DeviceA-vlan200] port gigabitethernet 2/1/2 [DeviceA-vlan200] quit #为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B，将GigabitEthernet2/1/3的链路类型配置为Trunk，并允许VLAN 100和VLAN 200的报文通过。 [DeviceA] interface gigabitethernet 2/1/3 [DeviceA-GigabitEthernet2/1/3] port link-type trunk [DeviceA-GigabitEthernet2/1/3] port trunk permit vlan 100 200 (2) Device B上的配置与Device A上的配置相同，不再赘述。 (3) 将Host A和Host C配置在一个网段，例如192.168.100.0/24；将Host B和Host D配置在一个网段，比如192.168.200.0/24。

三、验证配置 (1) Host A和Host C能够互相ping通，但是均不能ping通Host B。Host B和Host D能够互相ping通，但是均不能ping通Host A。 (2) 通过查看显示信息验证配置是否成功。 #查看Device A上VLAN 100和VLAN 200的配置信息，VLAN 100的报文仅允许通过接口GE2/1/3和GE2/1/1，VLAN 200的报文仅允许通过接口GE2/1/3和GE2/1/2。 [DeviceA-GigabitEthernet2/1/3] display vlan 100 VLAN ID: 100 VLAN type: Static Route interface: Not configured Description: VLAN 0100 Name: VLAN 0100 Tagged ports: GigabitEthernet2/1/3 Untagged ports: GigabitEthernet2/1/1 [DeviceA-GigabitEthernet2/1/3] display vlan 200 VLAN ID: 200 VLAN type: Static Route interface: Not configured Description: VLAN 0200 Name: VLAN 0200 Tagged ports: GigabitEthernet2/1/3 Untagged ports: GigabitEthernet2/1/2