华为HCNA实验报告 vlan综合应用

班 级： 15华为通信

  报 告 人 ：李尧

QQ:858012763

时 间：2016年5月8日

实验目的：

1．实现二层网络内vlan的安全通信

2．实现特定vlan的internet访问

注：考虑网络的扩展性，各设备应留有充足的扩展接口。

 

实验括扑图：

 

括扑图物理配置说明（一）：

 

   

实验步骤：

1．物理设备接口配置（不包含PC）

 按照实验括扑图物理配置说明表中数据，对设备对应接口配置对应的ip

子网掩码，网管地址。使用命令如下：

 System-view     进入管理员视图界面命令

 interface  gigabitethernet0/0/0     进入接口视图命令

 ip address  192.168.1.124             配置ip地址与子网掩码命令

 Display ip interface brief            查看路由接口配置简要信息命令

 Display interface gigethernet0/0/0    查看路由接口配置详细信息命令

注：所有查看命令均为用户视图命令

以设备AR1为例，配置接口gigethernet0/0/0.1和gigethernet0/0/1接口ip地址子网掩码如下：

      

      system-view

      [AR1]interface gigabitethernet0/0/0

      [AR1-gigabitethernet0/0/0.1]ip address 192.168.1.254 24

      [AR1-gigabitethernet0/0/1]interface gigabitethernet0/0/1

      [AR1-gigabitethernet0/0/1]ip address 192.168.2.1 24

  [AR1-gigabitethernet0/0/1]

注：为用户视图界面，[AR1]为管理员视图界面，所有用户视图界面请自述操作查看，不在详细述说。

2．Vlan配置

在LWS3上配置vlan,并将对应物理接口加入指定vlan之中，考虑安全问题，个vlan需有专属pvld,不允许vlan1设备数据通过，切vlan1设备只能进行本区域内自身互访。使用命令如下：（以配置hybrid接口为例）

 Vlan 2或vlan batch 2 to 4         创建vlan命令，batch表示同时创建多个vlan

Description liyao                  标记命令（此处用来命名vlan名）

Undo port default vlan             恢复接口默认vlan命令

Undo vlan                          删除vlan命令

Port link-type hybrid              设置接口类型为hybrid命令

Port hybrid untagged vlan 2        指定接口接收并转发untagged帧命令

Port hybrid tagged vlan  (2/all)   指定接口接收并转发tagged帧命令

Port hybrid pvid vlan 2            指定接口的默认vlan ID命令

Undo Port hybrid vlan 1            将接口从默认vlan中删除命令     

Display vlan （参数）              查看对应vlan相关详细配置信息

Display vlan  summary              查看指定vlan简要信息

Display port vlan                  查看接口所属vlan ID

Display current-confinguration | include (字符串)   查看与字符串相关所有配置

Display current-confinguration      查看全局配置信息

注：undo命令在后续配置中将不在出项，在华为设备命令中，在对应命令符前加undo表示删除该命令已经该命令所执行的相关配置

以配置hybrid接口为例，综合考录网络安全问题，严禁vlan1设备访问非自身区域设备，严禁vlan1设备链接网络，

括扑图PC物理配置说明（一）：

 

配置如下：

1) 初步配置：(以LWS3为示范）

    

system-view

[LWS3]vlan batch 2 to 4

[LWS3]interface ethernet0/0/1

[LWS3-ethernet0/0/1]interface ethernet0/0/2

[LWS3-ethernet0/0/2]port hybrid untagged vlan 3

[LWS3-ethernet0/0/1]interface ethernet0/0/2

[LWS3-ethernet0/0/3]port hybrid untagged vlan 4

[LWS3-ethernet0/0/3]vlan 2

[LWS-vlan2]Description liyao001

[LWS-vlan2]vlan 3

[LWS-vlan3]Description liyao002

[LWS-vlan3]vlan 4

[LWS-vlan4]Description liyao003

[LWS3-ethernet0/0/4]port hybrid untagged vlan 2 to 4

在LWS4中做相同配置

执行查看命令查看结果如下：

[LWS3]display vlan

 

在PC2端做ping检测如下

 

 

各vlan之间任然能进行通行，且vlan 2to 4 均能通过网关连入网络。

2) 阻断各vlan之间的互访。

[LWS3-ethernet0/0/1]port hybrid pvid vlan 2

[LWS3-ethernet0/0/1]port hybrid tagged vlan 3 to 4

[LWS3-ethernet0/0/2]port hybrid pvid vlan 3

[LWS3-ethernet0/0/2]port hybrid tagged vlan 2  4

[LWS3-ethernet0/0/3]port hybrid pvid vlan 4

[LWS3-ethernet0/0/3]port hybrid tagged vlan 2 to 3

[LWS3-ethernet0/0/4]port hybrid tagged vlan 2 to 4

在LWS4中做相同配置

执行查看命令如下：

[LWS3]display vlan

 

[LWS3]display port vlan

 

在PC4端做ping命令检测如下；

 

将实验扩扑图中

LWS3与AR1之间的物理线路LWS3-ethernet0/0/4———AR1-gigabitethernet0/0/1,

LWS4与AR4之间的物理线路LWS4-ethernet0/0/4———AR2-gigeabitthernet0/0/2,

将LWS3与LWS4直接有物理线路LWS4-ethernet0/0/3———LWS4-ethernet0/0/4连接起来，并将所有PC4端的ip地址修改为192.168.1.0段地址，子网掩码为24位，网管修改为0.0.0.0。扩扑图如下：

 

做ping命令测试如下：

做一下配置修改

[LWS3-ethernet0/0/4]port hybrid untagged vlan 2 to 4

[LWS4-ethernet0/0/4]port hybrid untagged vlan 2 to 4

在PC4端做ping测试如下：

 

 

由以上ping测试发现当交换机间端口为hybrid时，若配置端口为通过tagged帧，vlan在跨交换机后仍只能访问自身vlan；若配置端口为通过untagged帧，则在同一交换机上，vlan只能访问自身，跨交换机后，vlan可以访问另一台交换机上所有连如交换机的设备。

注意：untagged帧时，vlan能访问路由器端网管地址；tagged帧时，vlan无法访问路由器段网管地址。

综合考考虑，因交换机间端口ethernet0/0/4，隶属于默认vlan1，vlan-ID为1，所有还应作一下配置测试：

[LWS3-ethernet0/0/4]undo port hybrid vlan 1

[LWS4-ethernet0/0/4]undo port hybrid vlan 1

在PC4做ping测试如下：

 

3) 考虑网络安全行，不同vlan之间不允许通信，vlan1不允许跨交换机通信（既vlan1设备只能访问自身交换机所属vlan1设备，不能访问其他交换vlan1设备）。配置如下：

[LWS3-ethernet0/0/1]port hybrid tagged vlan 1

[LWS3-ethernet0/0/2]port hybrid tagged vlan 1

[LWS3-ethernet0/0/3]port hybrid tagged vlan 1

[LWS3-ethernet0/0/4]port hybrid tagged vlan 1

[LWS3-ethernet0/0/4]undo hybrid vlan 1

LWS4做相同配置

执行查看命令如下：

[LWS3]display vlan

 

在LWS3接入PC7,PC8,配置为192.168.1.0 段ip地址，子网掩码为24位。扩扑图如下：

 

在PC4做ping命令测试如下：

 

在PC7做ping命令测试如下：

 

 

还原扩扑图如下：

 

 

4) 综合以上测试，在考虑网络安全的情况下，要求各vlan只能访问自身设备，且除vlan1外所有vlan均可通过访问路由网关，链入其他网络进行网络访问。则需要在以上配置的基础上，在网关路由上进行tag报文终结配置（以单臂路由原理实现多臂路由）使用命令如下：

Dot1q termination vid (参数)            配置子接口对tag报文的终结功能

Arp broadcast enable                    配置子接口arp广播功能

display interface [interface-type [interface-number[subnumber]]]

                                        查看指定或所有以太网子接口的状态

display dot1q information termination [interface interface-type interface-number[subnumber]]

                  查看配置了dot1q终结的所有接口的名称以及终结子接口对用户报文终结的规则数量

括扑图PC物理配置说明（二）：

 

按上表修改PC端ip地址，子网掩码，默认网关。

以AR1为例配置如下：

[AR1-gigabitethernet0/0/0.1]Dot1q termination vid 2

[AR1-gigabitethernet0/0/0.1]Arp broadcast enable

[AR1-gigabitethernet0/0/0.2]Dot1q termination vid 3

[AR1-gigabitethernet0/0/0.2]Arp broadcast enable

[AR1-gigabitethernet0/0/0.3]Dot1q termination vid 4

[AR1-gigabitethernet0/0/0.3]Arp broadcast enable

在AR4做同等配置

执行查看命令：

[AR1]display current-confinguration

 

在PC1端做ping命令测试

 

在PC1端点做ping命令测试外网192.168.2.1.连通性。

 

以上配置为配置dut1q子接口配置vlan终结，因dut1q子接口只支持单个vlan-ID终结，这将意为着二层网络内需要连入internet网络的vlan组，每一个vlan组都将需要一个独立的ip地址网段。这一般配置一定程度上增强了二层网络的网络安全性，但连入internet网络的vlan组，之间若要进行互访，则需要进行复杂配置（QinQ终结）配置。为简化实际配置过程，以及配置工作量。做一下修改。

 

达到目标：

实现二层网络内vlan的安全通信

在二层网络内只能实现相同vlan设备才能互访，访问其他vlan需要重新指定配置；默认vlan（vlan1）只能访问单个交换机内的vlan1设备，无法访问接入网络的其他交换机的vlan1设备。

实现特定vlan的internet访问

除默认vlan外，vlan均可以在二层网络内可以实现相同vlan互访；但除特定vlan外，其他vlan无法访问internet网络，vlan访问internet网络需要在网关路由端进行配置；默认vlan（vlan1）始终无法访问internet网络。