基于 VLAN 划分与 ACL 访问控制的跨网段互通综合实验
一、实验概述
1.实验背景
本实验通过VLAN 划分、单臂路由、DHCP 动态地址分配、ACL 访问控制等技术,实现不同 VLAN / 网段终端的隔离与互通,满足企业网络 “分段管理、权限控制、安全隔离” 的核心需求。
2.实验拓扑
拓扑由 1 台路由器(AR1)、3 台二层交换机(LSW1/LSW2/LSW3)、6 台 PC 组成:
路由器 AR1:GE0/0/0 连接 LSW1,实现单臂路由与 DHCP 服务;
LSW1:连接 PC1(VLAN2)、PC2(VLAN3),上联 LSW2
LSW2:连接 PC3(VLAN2)、PC4(VLAN3),上联 LSW1/LSW3
LSW3:连接 PC5(VLAN3)、PC6(VLAN3),上联 LSW2
所有 PC 通过 DHCP 自动获取 IP,跨 VLAN / 网段互通需满足 ACL 访问规则。
3.实验需求
(1)VLAN 划分:
PC1/PC3 接入接口为 Access,归属 VLAN2;PC2/PC4/PC5/6 归属 VLAN3,同网段。
(2)访问控制:PC2 可访问 PC4/5/6,PC5/6 互访禁止;
PC4 可访问 PC5,无法访问 PC6;
(3)网段隔离:PC1/3(VLAN2,192.168.2.0/24)与 PC2/4/5/6(VLAN3,192.168.3.0/24)分属不同网段;
(4)地址分配:所有 PC 通过 DHCP 自动获取 IP,PC1/3 可正常访问 PC2/4/5/6。
二、实验原理
1. VLAN 技术
虚拟局域网(VLAN)将物理交换机划分为逻辑广播域,隔离不同终端的二层通信,本实验通过 VLAN2/VLAN3 实现终端分段,Access 接口用于终端接入,Trunk 接口用于跨交换机 VLAN 透传。
2. 单臂路由
路由器通过子接口终结 VLAN 标签,实现不同 VLAN 间的三层互通,为跨网段通信提供路由转发基础。
3. DHCP 动态地址分配
路由器开启 DHCP 服务,为不同 VLAN 分配专属地址池,终端自动获取 IP / 网关 / DNS,简化网络配置。
4. ACL 访问控制
通过高级 ACL(3000 系列)定义访问规则,在交换机接入接口调用,实现同网段 / 跨网段的精细化访问控制,满足实验的隔离与互通需求。
三、实验配置步骤
(一)基础准备:创建 VLAN
所有交换机执行 VLAN 创建命令,初始化 VLAN 环境:
# 所有交换机(LSW1/LSW2/LSW3)通用
<Huawei> system-view
[Huawei] sysname LSWX # 替换为对应设备名称
[LSWX] vlan batch 2 3 # 创建VLAN2、VLAN3(二)交换机接入接口配置(Access 模式)
1. LSW1 配置
# PC1接入口GE0/0/1(VLAN2)
[LSW1] interface GigabitEthernet 0/0/1
[LSW1-GE0/0/1] port link-type access
[LSW1-GE0/0/1] port default vlan 2
[LSW1-GE0/0/1] undo shutdown
# PC2接入口GE0/0/2(VLAN3)
[LSW1] interface GigabitEthernet 0/0/2
[LSW1-GE0/0/2] port link-type access
[LSW1-GE0/0/2] port default vlan 3
[LSW1-GE0/0/2] undo shutdown2.LSW2 配置
# PC3接入口GE0/0/1(VLAN2)
[LSW2] interface GigabitEthernet 0/0/1
[LSW2-GE0/0/1] port link-type access
[LSW2-GE0/0/1] port default vlan 2
[LSW2-GE0/0/1] undo shutdown
# PC4接入口GE0/0/2(VLAN3)
[LSW2] interface GigabitEthernet 0/0/2
[LSW2-GE0/0/2] port link-type access
[LSW2-GE0/0/2] port default vlan 3
[LSW2-GE0/0/2] undo shutdown3. LSW3 配置
# PC5接入口GE0/0/1(VLAN3)
[LSW3] interface GigabitEthernet 0/0/1
[LSW3-GE0/0/1] port link-type access
[LSW3-GE0/0/1] port default vlan 3
[LSW3-GE0/0/1] undo shutdown
# PC6接入口GE0/0/2(VLAN3)
[LSW3] interface GigabitEthernet 0/0/2
[LSW3-GE0/0/2] port link-type access
[LSW3-GE0/0/2] port default vlan 3
[LSW3-GE0/0/2] undo shutdown(三)交换机互联接口配置(Trunk 模式)
1. LSW1 与 LSW2 互联(GE0/0/3)
[LSW1] interface GigabitEthernet 0/0/3
[LSW1-GE0/0/3] port link-type trunk
[LSW1-GE0/0/3] port trunk allow-pass vlan 2 3
[LSW1-GE0/0/3] undo shutdown
[LSW2] interface GigabitEthernet 0/0/3
[LSW2-GE0/0/3] port link-type trunk
[LSW2-GE0/0/3] port trunk allow-pass vlan 2 3
[LSW2-GE0/0/3] undo shutdown2. LSW2 与 LSW3 互联(GE0/0/4)
[LSW2] interface GigabitEthernet 0/0/4
[LSW2-GE0/0/4] port link-type trunk
[LSW2-GE0/0/4] port trunk allow-pass vlan 2 3
[LSW2-GE0/0/4] undo shutdown
[LSW3] interface GigabitEthernet 0/0/3
[LSW3-GE0/0/3] port link-type trunk
[LSW3-GE0/0/3] port trunk allow-pass vlan 2 3
[LSW3-GE0/0/3] undo shutdown
(四)路由器单臂路由 + DHCP 配置
1. 路由器基础配置
<Huawei> system-view
[Huawei] sysname AR12. 子接口配置(Dot1q 终结)
# 主接口配置
[AR1] interface GigabitEthernet 0/0/0
[AR1-GE0/0/0] undo shutdown
[AR1-GE0/0/0] quit
# VLAN2子接口(PC1/3网关)
[AR1] interface GigabitEthernet 0/0/0.2
[AR1-GE0/0/0.2] dot1q termination vid 2
[AR1-GE0/0/0.2] ip address 192.168.2.1 255.255.255.0
[AR1-GE0/0/0.2] arp broadcast enable # 透传DHCP广播
# VLAN3子接口(PC2/4/5/6网关)
[AR1] interface GigabitEthernet 0/0/0.3
[AR1-GE0/0/0.3] dot1q termination vid 3
[AR1-GE0/0/0.3] ip address 192.168.3.1 255.255.255.0
[AR1-GE0/0/0.3] arp broadcast enable3. DHCP 地址池配置
# 开启DHCP全局功能
[AR1] dhcp enable
# VLAN2地址池(PC1/3)
[AR1] ip pool VLAN2
[AR1-ip-pool-VLAN2] network 192.168.2.0 mask 255.255.255.0
[AR1-ip-pool-VLAN2] gateway-list 192.168.2.1
[AR1-ip-pool-VLAN2] dns-list 114.114.114.114 8.8.8.8
[AR1-ip-pool-VLAN2] quit
# VLAN3地址池(PC2/4/5/6)
[AR1] ip pool VLAN3
[AR1-ip-pool-VLAN3] network 192.168.3.0 mask 255.255.255.0
[AR1-ip-pool-VLAN3] gateway-list 192.168.3.1
[AR1-ip-pool-VLAN3] dns-list 114.114.114.114 8.8.8.8
[AR1-ip-pool-VLAN3] quit
# 绑定地址池到子接口
[AR1] interface GigabitEthernet 0/0/0.2
[AR1-GE0/0/0.2] dhcp select global
[AR1-GE0/0/0.2] quit
[AR1] interface GigabitEthernet 0/0/0.3
[AR1-GE0/0/0.3] dhcp select global
[AR1-GE0/0/0.3] quit(五)ACL 访问控制配置
1. 定义 ACL 规则(高级 ACL 3000)
# LSW2配置ACL
[LSW2] acl number 3000
# 禁止PC4访问PC6
[LSW2-acl-adv-3000] rule deny ip source 192.168.3.4 0 destination 192.168.3.6 0
# 禁止PC5访问PC6
[LSW3] acl number 3000
[LSW3-acl-adv-3000] rule deny ip source 192.168.3.5 0 destination 192.168.3.6 0
# 允许其余所有IP流量
[LSW2-acl-adv-3000] rule permit ip
[LSW3-acl-adv-3000] rule permit ip
[LSW2-acl-adv-3000] quit
[LSW3-acl-adv-3000] quit2. 调用 ACL 到接入接口
# LSW2:PC4接口GE0/0/2入方向调用ACL
[LSW2] interface GigabitEthernet 0/0/2
[LSW2-GE0/0/2] traffic-filter inbound acl 3000
[LSW2-GE0/0/2] quit
# LSW3:PC5接口GE0/0/1入方向调用ACL
[LSW3] interface GigabitEthernet 0/0/1
[LSW3-GE0/0/1] traffic-filter inbound acl 3000
[LSW3-GE0/0/1] quit(六)配置保存
所有设备执行保存命令:
<设备名> save
五、实验总结
1. 技术掌握
本实验综合运用VLAN 划分、单臂路由、DHCP、ACL四大核心技术,实现了:广播域隔离:通过 VLAN2/VLAN3 划分,隔离不同终端的二层广播;跨网段互通:单臂路由实现三层转发,DHCP 自动分配地址;精细化访问控制:ACL 精准限制同网段终端访问,满足企业网络安全需求。
2. 实验收获
理解 VLAN 逻辑隔离与物理链路的结合逻辑,掌握 Access/Trunk 接口配置差异;掌握单臂路由配置原理,明确子接口 Dot1q 终结与 ARP 广播的作用;学会 ACL 规则定义与接口调用,理解网络访问控制的实现方式;提升网络故障排查能力,能通过命令定位接口、VLAN、ACL、DHCP 等核心问题。
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐
27
0- 0
已为社区贡献1条内容
所有评论(0)