目标:利用hybrid接口,实现IT部可以访问所以部门,但各部门之间不能进行通信。
目的:体现hybrid的灵活性,它居于access和trunk 之间。
hybrid:(标签==pvid)第一步:收到一个二层帧,判断是否有标签,如果没有,打上此接口的PVID,如果有,就看看此接口是否允许此pvid通过,如果不允许,则接口直接丢弃;如果允许通过,则看本接口是untagged还是tagged,如果是untagged则剥离标签然后发出,如果tagged,则直接保持原标签,发送数据。
在没有任何配置,只是单单把电脑ip敲上,是所以pc之间都可以通信,就不一一举例子,pc3 ping pc1,是可以通的,因为所以接口都属于默认vlan 1。
接下来把各个交换机的vlan配置好。
#LSW1
[LSW1]vlan batch 10 20 30 //配置vlan. vlan 30 也是需要配置进去的。
[LSW1]int et0/0/4 //连接PC3
[LSW1-Ethernet0/0/4]port hybrid untagged vlan 20//配置接口收到带vlan20的数据包,剥离vlan20转发
[LSW1-Ethernet0/0/4]port hybrid pvid vlan 20 //配置接口发送接口带vlan20标签
[LSW1]int et0/0/3 //连接pc1
[LSW1-Ethernet0/0/3]port hybrid untagged vlan 10 //
[LSW1-Ethernet0/0/3]port hybrid pvid vlan 10
[LSW1-Ethernet0/0/2]port hybrid tagged vlan 10 20 //配置交换机之间的接口转发带仅带有pvid 10 20的数据包,其他不转发。一般这个命令都是配置在交换机之间的。
最后结果
LSW2配置类似,我这里直接放结果截图
继续利用pc3 ping pc1。
可以发现,是不通的,直接找不到地址的。
那么我们利用pc1 ping pc2
可以发现是通的
继续利用PC3 ping pc 4
可以发现也是通的。
我们已经实现了不同部门之间不能通信,部门内部可以通信,接下来要实现IT部可以和全部部门通信。
继续完善LSW1的配置
[LSW1-Ethernet0/0/1]port hybrid untagged vlan 10 20 30 //让该接口收到了vlan 10 20 30 的数据包剥离pvid然后再转发到pc5
[LSW1-Ethernet0/0/1]port hybrid tagged vlan 30 //pc5发出无标签数据包时,打上vlan30的标签。
[LSW1-Ethernet0/0/4]port hybrid untagged vlan 20 30 //同理,要让vlan30的pc5访问pc3,则需要剥离30的标签,不然计算机无法识别。
[LSW1-Ethernet0/0/3]port hybrid untagged vlan 10 30 //同上!
以下都同理,
[LSW2-Ethernet0/0/3]port hybrid untagged vlan 20 30
[LSW2-Ethernet0/0/3]int et0/0/1
[LSW2-Ethernet0/0/2]port hybrid untagged vlan 10 30
交换机之间的互连接口配置:LSW1的
[LSW1-Ethernet0/0/2]port hybrid tagged vlan 10 20 30 //要让vlan 10 20 30可以发送到对方的交换机。
同理LSW2也是如此
[LSW2-Ethernet0/0/1]port hybrid tagged vlan 10 20 30
配置完成,测试一下IT部能否访问各部门的pc
访问pc3
访问pc2
都是可以通的,到此实验结束。
配置完成后面LSW1和LSW2的结果图:
此实验虽然简单,我觉得比较基础,也比较容易搞混,虽然日常生活中多使用三层设备解决此问题,但不够灵活,直接利用二层实现不同vlan之间的访问,既不需要每一个vlan定义单独的IP段,赶不需要引入路由设备,即可实现相同网段的访问控制。
,
