常见问题解答

应用流策略解决接口DHCP下VLAN互通问题

网络拓扑.PNG


根据需求在汇聚交换机S7703上开启DHCP,创建VLAN100和VLAN200,并设定接口IP地址分别为192.168.1.254/24和192.168.2.254/24;接入交换机S3700-1和S3700-2创建VLAN100,接入交换机S3700-3创建VLAN200。

[S7700]dhcp enable

[S7700]vlan batch 100 200

[S7700]interface  Vlanif 100

[S7700-Vlanif100]ip address 192.168.1.254 24

[S7700]interface Vlanif 200

[S7700-Vlanif200]ip address 192.168.2.254 24

[S3700-1]vlan 100

[S3700-2]vlan 100

[S3700-3]vlan 200

配置汇聚交换机S7700的下行端口G2/0/1、G2/0/2和G2/0/3为trunk接口,对应接入交换机S3700接口G0/0/1端口为trunk接口,并将S3700接入交换机的下行端口配置为access接口,保证二层互通。


汇聚交换机S7700:

[S7700-GigabitEthernet2/0/1]port link-type  trunk

[S7700-GigabitEthernet2/0/1]port trunk allow-pass vlan 100

[S7700-GigabitEthernet2/0/2]port link-type  trunk

[S7700-GigabitEthernet2/0/2]port trunk allow-pass vlan 100

[S7700-GigabitEthernet2/0/3]port link-type  trunk

[S7700-GigabitEthernet2/0/3]port trunk allow-pass vlan 200


接入交换机S3700:

[S3700]interface  GigabitEthernet 0/0/1

[S3700-GigabitEthernet0/0/1]port link-type trunk

[S3700]interface Ethernet 0/0/1

[S3700-Ethernet0/0/1]port link-type access


分别在两个vlanif接口下开启接口DHCP,下面的终端可以获取到IP地址,得到的结果是,这两个接口下的终端是可以互通的。

[S7700]int vlan 100

[S7700-Vlanif100]dhcp select interface

[S7700]int vlan 200

[S7700-Vlanif200]dhcp select global


可以看到PC1、PC2和PC3分别获得到地址. 验证互通性,可以发现PC1和PC2、PC3都是互通,然而,通常我们希望不同VLAN下的终端是不能互通的。

分析与对策


因为PC可以看做都是直连到汇聚交换机S7700上的,所以可以互通。S7700和(S3700-1,S3700-2,S3700-3)之间是Trunk,S3700-1,S3700-2,S3700-3与PC都是access。S7700上的GE2/0/1是trunk方式加入vlan100的,acl需要匹配vlan100报文,而转发到S7700的报文是untag类型的,所以匹配不上。可以在S7700上把vlan100打上。


应用流策略如下:

[S7700]acl number 3002

[S7700-acl-adv-3002]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.

168.2.0 0.0.0.255

[S7700]traffic classifier 1 operator and

[S7700-classifier-1]if-match acl 3002

[S7700-classifier-1]if-match vlan-id 100

[S7700]traffic behavior 1

[S7700-behavior-1]de

[S7700-behavior-1]deny

[S7700]traffic behavior 1

[S7700-behavior-1]deny

[S7700]traffic behavior 1

[S7700-trafficpolicy-1]classifier 1 behavior 1

[S7700]traffic-policy 1 global  inbound


处理结果

应用流策略实现了不同VLAN的隔离,从而实现PC1、PC2可以互通,和PC3不能互通的目的。同样的问题有很多的解决方法,交换机开启DHCP之后,分别在两个vlanif接口下开启接口DHCP,得到的结果是这两个VLAN接口下的终端是可以互通的,然而通常我们希望VLAN是不能互通的,本案例考虑使用流策略实现了接口DHCP下不同VLAN互通的问题。

在线客服