三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通

这里我用华三的eNSP模拟器做实验,其实三种技术都是很简单的,我这里主要解释模拟实验的配置问题,就不过多的补充理论知识了哈。

法一:VLAN的Hybrid端口类型

首先,先说明一点,华三交换机端口默认类型是Access,用命令“display interface brief”就可以知道;华为交换机端口默认类型是Hybrid,用命令“display port vlan”查看。下面贴上实图:

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第1张图片

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第2张图片

OK,现在来说模拟实验,拓扑图如下(三个主机都设置好IP和掩码,网关不用写):

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第3张图片

我们想要实现PC1 ping 通PC3、PC2 ping通PC3、PC1 ping 不通PC2对吧,在你把这个拓扑图搭建好后,理论上来讲PC1 PC2 PC3就能相互通(这个不用解释的吧,因为是交换机嘛),下面来对交换机进行配置达到我们的要求:

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第4张图片

port hybrid pvid vlan 10:设置端口的pvid等于该端口所属的vlan
port hybrid untagged vlan 10 30:将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口

我们分析一下PC1 ping PC3的情况:PC1发的数据包通过交换机的GE0/0/1端口后被打上VLAN ID为10的标签,出GE0/0/1端口到达GE0/0/3端口后,发现时VLAN10,就把这个标签剥离了,然后发给PC3(主机不能识别有VLAN标签的数据包的);转过来,PC3回PC1呢,PC3发的数据包通过交换机的GE0/0/3端口后被打上VLAN ID为30的标签,出GE0/0/3端口GE0/0/1端口后,GE0/0/1端口就可以剥离这个30标签,再发给PC1。PC2 ping PC3也是同理。而PC1 ping  PC2时,在GE0/0/1端口打的VLAN ID为10的标签再GE0/0/2端口不能剥离,主机无法识别这个带有标签的数据包就扔掉了,所以怎么能ping通呢对吧

*有个总结挺好记的:tagged就是不剥离的VLAN,untagged就是剥离的VLAN,pvid就是端口的外层VLAN。

看一下结果:

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第5张图片三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第6张图片

方法二:ACL控制列表

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第7张图片

和上面一样,PC机配置IP和掩码,网关没必要配置,对交换机的配置:

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第8张图片

来我们分析一下哈:rule1拒绝源地址为192.168.1.2/24的主机(0代码单个主机,如果是网段的话就写成反掩码的形式)访问目的地址为192.168.1.1/24的主机,也就是设定了一条规则让PC5不能和PC4通信,其它的不管。把这条规则放在交换机GE0/0/2端口的inbound方向上(如果是放在了GE0/0/2端口的outbound方向上就还会通哦),这样的话,PC5想要pingPC4,那么PC5就会传个包,这个包的源地址是192.168.1.2/24目的地址是192.168.1.1/24,当这个包到达端口GE0/0/2,交换机一看,这正好是我的控制列表规定的要拒绝的包,所以根本就没让这个包进入端口GE0/0/2,那么PC5怎么会pingPC4呢对吧,而PC5通向PC6的包就没有这个控制了,他就不匹配rule1再比对rule2,所以就能过啦。

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第9张图片三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第10张图片

能实现我们要求的ALC的规则只有这一个吗?肯定不是哦,既然有inbound,你就会自然想到如果我要用outbound该怎么写呢?好,现在我们再写一条规则acl3001,拒绝源地址为192.168.1.1/24的主机通向目的地址为192.168.1.2/24的主机:

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第11张图片

那么我上面的能不能实现要求呢?聪明的你们一定很快就反应过来了,上面这个图的配置后,PC4还是可以ping通PC5的,为什么呢?我把这条acl3001规则用到了GE0/0/1的outbound方向上,这是没用的,用在该换口的inbound方向才能满足要求。

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第12张图片

我这里又是用的inbound的,那么outbound到底该怎么用呢?下面两条都是可以实现的哦(在每次重新设置过滤规则时,记得要先undo你之前的traffic-filter噢)

我在GE0/0/1端口outbound方向应用规则acl3000就可以实现,这是为什么呢?再来分析一下:当PC5发出的源地址为192.168.1.2/24的数据包要ping目的地址为192.168.1.1/24时,这个数据包顺利通过了交换机的GE0/0/2端口,现在到了GE0/0/1端口时,这个数据包进了这个端口,但是出不去了!那它还是无法到达PC4嘛对吧

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第13张图片

上面ACL规则共四种设置呢,都是可以满足要求的,我就不再分别附结果图了哈,其实原理都是差不多的。

方法三:端口过滤

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第14张图片

主机配置IP和掩码,网关不用配。对交换机的配置:

port-isolate enable就是端口隔离命令啦

三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第15张图片三种技术实现PC1、PC2与PC3都通,而PC1与PC2不通_第16张图片

 

你可能感兴趣的:(网络工程相关)