一、实验原理
华为vlan部分的接口模式
- 只要流量进入华为设备将马上被打上标签,华为设备内部转发的流量均存在标签
- 华为设备交换机上所有接口存在转发允许列表,只有被转发允许列表允许的流量,才能从该接口进入或转出
- 从某个接口转出时,除了查看允许列表以外,还需要决定是否要带着标记出去
- 若某个流量从交换机某个接口进入时没有标签,将被标记上该接口的PVID值所代表的vlan标签
- 若某个流量从交换机的某个接口进入时,存在标签,将匹配该接口的允许列表,若被允许则可以进入,若未被允许则被丢弃
- PC若接收到存在标签的流量则丢弃
无论接口为任何模式,均适用于以上六条规则
access模式
只允许一个vlan通过,允许列表无法定义,PVID就是允许的VLAN,出接口的时候剥离标签
trunk模式
所有VLAN均可手动添加到允许列表中,默认仅PVLAN在允许列表,且PVLAN的出规则为不标记,其他VLAN出规则为标记
hybrid模式
所有VLAN均可手动添加到允许列表中,且可以在允许通过时,定义是否标记,默认PVLAN为VLAN1,出向规则为不标记。一旦PVLAN被修改,那么需要手工添加该VLAN到允许列表,同时定义是否可以标记
[sw1]interface g0/0/7
[sw1-g0/0/7]port hybrid tagged vlan 2 to 3 #指定打标签的vlan列表
[sw1-GigabitEthernet0/0/7]port hybrid untagged vlan 4 to 5 #指定不打标签的vlan列表
[sw1-GigabitEthernet0/0/7]port hybrid pvid 2 # 指定pvid
[sw1]display port vlan active 查看接口的VLAN转发规则
二、ENSP仿真实验概述
ensp的介绍
"ENSP"是华为企业级网络设备模拟器(Enterprise Network Simulation Platform)的缩写。它是华为公司提供的一款网络仿真软件,旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业级网络设备和拓扑。
以下是ENSP的一些主要介绍和功能:
- 网络拓扑模拟:ENSP允许用户在虚拟环境中构建复杂的企业级网络拓扑。用户可以添加和连接不同类型的虚拟设备,例如华为路由器、交换机、防火墙等,并设置它们之间的链路和端口属性。
- 设备模拟:ENSP提供华为企业级网络设备的模拟器,可以模拟华为的不同系列路由器和交换机。这样,用户可以在没有实际硬件设备的情况下,通过软件模拟真实设备的功能和特性。
- 配置和管理:用户可以通过ENSP对虚拟设备进行配置和管理。可以设置设备的接口、IP地址、路由协议、VLAN、安全特性等等,就像在真实设备上进行配置一样。
- 网络测试:ENSP支持模拟各种网络测试场景,如故障排除、负载均衡、链路聚合、网络性能测试等。用户可以在虚拟环境中模拟这些场景,以评估和优化网络的性能和稳定性。
- 学习和培训:ENSP是一个非常有用的教学工具,特别适合学生和网络工程师用于学习和实验华为设备的配置和操作。它可以提供一个安全的实验环境,让用户在不影响真实网络的情况下学习和实践。
- 版本支持:ENSP支持多种华为设备的模拟,包括不同型号和操作系统版本。这使得用户可以根据自己的需求选择合适的设备进行模拟和测试
ensp的安装
依次安装VirtualBox(版本5.2.26)、WinPcap(版本4.1.3)、Wireshark(版本:1.12.4)、ensp(版本:1.3.00.100)
三、实验要求
三、实验分析
1、pc2/4/5/6 在同一个网段中,pc1/3 在同一个网段中 2、分别在两台交换机上创建vlan 3、将接口划分vlan,并配置接口的链路模式 4、配置交换机与交换机之间的trunk干道(混合模式亦可),放行vlan 5、配置路由器子接口,实现vlan间路由 5、配置DHCP,下发IP地址
四、实验步骤
配置路由器
由于vlan2所在的网段和其他vlan所在的网段不同,所以vlan2由路由器的子接口管理,其他vlan由物理接口统一管理
设置子接口与物理接口
[R1]interface g0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.1 24
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 #配置封装标准,从此接口进出时要封装vlan id
[R1-GigabitEthernet0/0/0.1]arp broadcast enable #开启子接口的arp广播功能
[R1]inter g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.2.1 24
配置DHCP服务
创建两个dhcp池塘
[R1]dhcp enable
[R1]ip pool a
[R1-ip-pool-a]network 192.168.1.0 mask 24
[R1-ip-pool-a]gateway-list 192.168.1.1
[R1]ip pool b
[R1-ip-pool-a]network 192.168.2.0 mask 24
[R1-ip-pool-a]gateway-list 192.168.2.1
在子接口与物理接口上开启dhcp下发功能
[R1-GigabitEthernet0/0/0.1]dhcp select global
[R1-GigabitEthernet0/0/0]dhcp select global
配置交换机
在两台交换机上创建所需的vlan
[SW1]vlan batch 2 to 6
[SW2]vlan batch 2 to 6
设置access接口
将连接PC1和PC2的两个端口g0/0/3和g0/0/2端口设置为access并划分到vlan2
[SW1]inter g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
[SW1]inter g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 2
设置trunk干道
因为PC2可以访问PC4\5\6,所以vlan3\5\6可以通过trunk干道,vlan4不需要通过,因为PC4不允许访问PC5\6
g0/0/1接口也需要设置为trunk,允许vlan3\5\6通过且携带标签,将pvid设为1
[SW1-GigabitEthernet0/0/6]port link-type trunk
[SW1-GigabitEthernet0/0/6]port trunk allow-pass vlan 3 5 to 6
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 3 5 to 6
因为PC1\3也可以访问PC2\4\5\6,但由于PC1\3和后者不在同一个网段,访问或者需要借助路由器实现,按照设计,PC1\3来到192.168.2.0/24网段时的出接口是R1的物理接口,没有任何vlan的封装,只需要确保到PC2\4\5\6的出接口允许vlan1通过且剥离vlan1即可
设置PC2\4\5\6的接入口
由于PC2\4可以被任何流量访问,故设置为hybrid pvid3\4 U1to6,即所有VLAN都可以访问,但进入此接口时要贴上标签vlan3\4
[SW1-GigabitEthernet0/0/4]port hybrid pvid vlan 3
[SW1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 6
[SW1-GigabitEthernet0/0/5]port hybrid pvid vlan 4
[SW1-GigabitEthernet0/0/5]port hybrid untagged vlan 1 to 6
由于PC5除了不能被vlan4的PC4访问以外,其余流量均可以访问,所以设置为hybrid pvid5 U1to3 5to6
[SW2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 3 5 to 6
由于PC6不能被vlan4的PC4和vlan5的PC5访问,其余流量可以访问,所以设置为hybrid pvid 6 U1to3 6
[SW2-GigabitEthernet0/0/3]port hybrid untagged vlan 1 to 3 6
设置SW1到R1的出接口
PC1\3在访问网关时要到路由器的子接口,进子接口前必须有vlan2的封装,故出交换机的g0/0/1的时候不能撕标签,而其他流量到路由器都是走物理接口需要将自带的标签撕掉所以g0/0/1的配置是hybrid pvid1 U1 3to6 T2
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 3 to 6
[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 2
验证
PC2能ping通PC4\5\6
PC>ping 192.168.2.253
Ping 192.168.2.253: 32 data bytes, Press Ctrl_C to break
From 192.168.2.253: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.2.253: bytes=32 seq=2 ttl=128 time=31 ms
From 192.168.2.253: bytes=32 seq=3 ttl=128 time=32 ms
From 192.168.2.253: bytes=32 seq=4 ttl=128 time=31 ms
From 192.168.2.253: bytes=32 seq=5 ttl=128 time=31 ms
--- 192.168.2.253 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/34/47 ms
PC>ping 192.168.2.252
Ping 192.168.2.252: 32 data bytes, Press Ctrl_C to break
From 192.168.2.252: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.2.252: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.2.252: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.2.252: bytes=32 seq=4 ttl=128 time=47 ms
From 192.168.2.252: bytes=32 seq=5 ttl=128 time=78 ms
--- 192.168.2.252 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/56/78 ms
PC>ping 192.168.2.254
Ping 192.168.2.254: 32 data bytes, Press Ctrl_C to break
From 192.168.2.254: bytes=32 seq=1 ttl=128 time=62 ms
From 192.168.2.254: bytes=32 seq=2 ttl=128 time=63 ms
From 192.168.2.254: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.2.254: bytes=32 seq=4 ttl=128 time=47 ms
From 192.168.2.254: bytes=32 seq=5 ttl=128 time=63 ms
--- 192.168.2.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/59/63 ms
PC4不能ping通PC5
PC>ping 192.168.2.252
Ping 192.168.2.252: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 192.168.2.252 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC5不能ping通PC6
PC>ping 192.168.2.254
Ping 192.168.2.254: 32 data bytes, Press Ctrl_C to break
From 192.168.2.252: Destination host unreachable
From 192.168.2.252: Destination host unreachable
From 192.168.2.252: Destination host unreachable
From 192.168.2.252: Destination host unreachable
From 192.168.2.252: Destination host unreachable
--- 192.168.2.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC1访问PC2
PC>ping 192.168.2.251
Ping 192.168.2.251: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.251: bytes=32 seq=2 ttl=127 time=94 ms
From 192.168.2.251: bytes=32 seq=3 ttl=127 time=46 ms
From 192.168.2.251: bytes=32 seq=4 ttl=127 time=79 ms
From 192.168.2.251: bytes=32 seq=5 ttl=127 time=78 ms
--- 192.168.2.251 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/74/94 ms
PC1访问PC4
PC>ping 192.168.2.253
Ping 192.168.2.253: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.253: bytes=32 seq=2 ttl=127 time=78 ms
From 192.168.2.253: bytes=32 seq=3 ttl=127 time=78 ms
From 192.168.2.253: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.2.253: bytes=32 seq=5 ttl=127 time=78 ms
--- 192.168.2.253 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/78/78 ms
PC1访问PC5
PC>ping 192.168.2.252
Ping 192.168.2.252: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.252: bytes=32 seq=2 ttl=127 time=125 ms
From 192.168.2.252: bytes=32 seq=3 ttl=127 time=94 ms
From 192.168.2.252: bytes=32 seq=4 ttl=127 time=94 ms
From 192.168.2.252: bytes=32 seq=5 ttl=127 time=94 ms
--- 192.168.2.252 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/101/125 ms
PC1访问PC6
PC>ping 192.168.2.254
Ping 192.168.2.254: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.254: bytes=32 seq=2 ttl=127 time=78 ms
From 192.168.2.254: bytes=32 seq=3 ttl=127 time=94 ms
From 192.168.2.254: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.2.254: bytes=32 seq=5 ttl=127 time=109 ms
--- 192.168.2.254 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/89/109 ms
总结
所有连接终端的接口如果涉及特殊的访问规则,那么就单独划分到一个vlan,并最好采用hybrid模式,将不允许访问它的主机所在的vlan不要写在允许列表中,其余都写在允许列表中并且剥离标签,否则电脑识别不了带标签的数据包
所有交换机之间的接口最好设置为trunk,最好允许所有vlan通过,那些特殊的访问规则交由连接终端的hybrid接口处理
交换机连接路由的接口上最好设置为hybrid模式,并且允许所有vlan通过但是要注意,贴标签的vlan要和路由器子接口所管理的vlan一致,不贴标签的数据包才会到达路由器的物理接口被统一管理。