vlan实验报告

网络综合实验报告
一、实验目的
掌握 VLAN 的配置方法，实现不同 VLAN 的隔离与通信控制。
理解 DHCP 服务的配置，实现多设备自动获取 IP 地址。
掌握三层设备（路由器）在不同 VLAN 间路由的配置，实现跨 VLAN 通信。
理解访问控制列表（ACL）的应用，实现基于需求的流量控制。
二、实验拓扑
本实验拓扑包含 1 台路由器（R）、3 台交换机（SW1、SWA、SW3）和 6 台 PC（PC1-PC6）。其中 PC1、PC3 属于 VLAN2；PC2、PC4、PC5、PC6 分属不同 VLAN 或同一网段内不同访问权限组。
三、实验需求分析
VLAN 划分：PC1 和 PC3 所在接口为 access 类型，属于 VLAN2；PC2、PC4、PC5、PC6 需根据访问权限划分，处于同一网段但存在访问控制（PC2 可访问 PC4/5/6，PC4 可访问 PC5 但不能访问 PC6，PC5 不能访问 PC6）。
DHCP 服务：所有 PC 通过 DHCP 获取 IP 地址，需在网络中配置 DHCP 服务，为不同 VLAN 或网段分配 IP 地址池。
跨 VLAN 通信：PC1/3 与 PC2/4/5/6 不在同一网段，需通过路由器实现跨 VLAN 通信，保证 PC1/3 可以正常访问 PC2/4/5/6。
访问控制：通过 ACL 实现 PC2、PC4、PC5、PC6 之间的访问权限控制。
四、实验配置步骤
（一）交换机 VLAN 与接口配置
SW1 配置
创建 VLAN2：vlan 2
配置接口 GE 0/0/1：interface GigabitEthernet 0/0/1，port link-type access，port default vlan 2（PC1 属于 VLAN2）。
配置接口 GE 0/0/3：interface GigabitEthernet 0/0/3，port link-type trunk，port trunk allow-pass vlan all（与 SWA 互联，允许多 VLAN 通行）。
配置接口 GE 0/0/2：interface GigabitEthernet 0/0/2，port link-type access，port default vlan 3（PC2 属于 VLAN3）。
SWA 配置
创建 VLAN3、VLAN4、VLAN5、VLAN6：vlan 3，vlan 4，vlan 5，vlan 6
配置接口 GE 0/0/1：interface GigabitEthernet 0/0/1，port link-type access，port default vlan 2（PC3 属于 VLAN2）。
配置接口 GE 0/0/3：interface GigabitEthernet 0/0/3，port link-type trunk，port trunk allow-pass vlan all（与 SW1 互联）。
配置接口 GE 0/0/4：interface GigabitEthernet 0/0/4，port link-type trunk，port trunk allow-pass vlan all（与 SW3 互联）。
配置接口 GE 0/0/2：interface GigabitEthernet 0/0/2，port link-type access，port default vlan 4（PC4 属于 VLAN4）。
SW3 配置
创建 VLAN5、VLAN6：vlan 5，vlan 6
配置接口 GE 0/0/3：interface GigabitEthernet 0/0/3，port link-type trunk，port trunk allow-pass vlan all（与 SWA 互联）。
配置接口 GE 0/0/1：interface GigabitEthernet 0/0/1，port link-type access，port default vlan 5（PC5 属于 VLAN5）。
配置接口 GE 0/0/2：interface GigabitEthernet 0/0/2，port link-type access，port default vlan 6（PC6 属于 VLAN6）。
（二）路由器 DHCP 与路由配置
路由器接口配置
配置 GE 0/0/0 接口：interface GigabitEthernet 0/0/0，ip address 192.168.1.1 255.255.255.0（作为 DHCP 中继，同时作为与交换机互联的网关）。
DHCP 地址池配置
为 VLAN2 配置地址池：ip pool vlan2，network 192.168.2.0 mask 255.255.255.0，gateway-list 192.168.2.1，dns-list 8.8.8.8。
为 VLAN3、VLAN4、VLAN5、VLAN6 配置同一网段地址池（因 PC2/4/5/6 处于同一网段）：ip pool vlan3-6，network 192.168.3.0 mask 255.255.255.0，gateway-list 192.168.3.1，dns-list 8.8.8.8。
DHCP 中继配置
在 GE 0/0/0 接口下启用 DHCP 中继：dhcp select relay，dhcp relay server-ip 192.168.1.1（指向自身，因路由器作为 DHCP 服务器）。
静态路由或直连路由
由于路由器与交换机互联，且通过 VLAN 子接口或物理接口实现，需确保路由可达。此处通过配置子接口实现：
配置 VLAN2 子接口：interface GigabitEthernet 0/0/0.2，vlan-type dot1q 2，ip address 192.168.2.1 255.255.255.0。
配置 VLAN3 子接口：interface GigabitEthernet 0/0/0.3，vlan-type dot1q 3，ip address 192.168.3.1 255.255.255.0。
配置 VLAN4 子接口：interface GigabitEthernet 0/0/0.4，vlan-type dot1q 4，ip address 192.168.3.1 255.255.255.0（与 VLAN3 同网段）。
配置 VLAN5 子接口：interface GigabitEthernet 0/0/0.5，vlan-type dot1q 5，ip address 192.168.3.1 255.255.255.0（与 VLAN3 同网段）。
配置 VLAN6 子接口：interface GigabitEthernet 0/0/0.6，vlan-type dot1q 6，ip address 192.168.3.1 255.255.255.0（与 VLAN3 同网段）。
（三）访问控制列表（ACL）配置
在 SWA 或 SW3 上配置 ACL，实现 PC2、PC4、PC5、PC6 之间的访问控制：
拒绝 PC5 访问 PC6：acl number 3000，rule 5 deny ip source 192.168.3.5 0 destination 192.168.3.6 0（假设 PC5IP 为 192.168.3.5，PC6IP 为 192.168.3.6）。
拒绝 PC4 访问 PC6：rule 10 deny ip source 192.168.3.4 0 destination 192.168.3.6 0（假设 PC4IP 为 192.168.3.4）。
允许其他流量：rule 15 permit ip。
将 ACL 应用到 PC5、PC4 的出接口或 PC6 的入接口，例如在 SW3 的 GE 0/0/1（PC5 接口）和 SWA 的 GE 0/0/2（PC4 接口）应用：traffic-filter outbound acl 3000。
五、实验验证
DHCP 验证：查看各 PC 的 IP 地址，确认 PC1、PC3 获取到 192.168.2.0 网段地址，PC2、PC4、PC5、PC6 获取到 192.168.3.0 网段地址。
跨 VLAN 通信验证：从 PC1 ping PC2、PC4、PC5、PC6，应能正常通信。
访问控制验证：
从 PC2 ping PC4、PC5、PC6，应能正常通信。
从 PC4 ping PC5，应能正常通信；ping PC6，应无法通信。
从 PC5 ping PC6，应无法通信。
六、实验总结
通过本次实验，掌握了 VLAN 划分、DHCP 服务配置、跨 VLAN 路由以及访问控制列表的应用。理解了不同 VLAN 间的隔离与通信原理，以及如何通过 ACL 实现精细化的流量控制。在配置过程中，需注意接口类型（access/trunk）的正确设置、DHCP 地址池与网关的匹配，以及 ACL 规则的顺序和应用方向，确保实验需求的准确实现。