某個公司的網絡中,網絡管理者將同一部門的員工划分到同一 VLAN。為了提高部門內的信息安全,要求只有本部門員工的 PC 才可以訪問公司服務器。
1、拓撲圖
簡要說明:
服務器server1屬於vlan101,只有屬於vlan101的用戶才能訪問。
為了提高安全,使用mac地址划分vlan,只有PC1、PC2、PC3的電腦才可以訪問服務器。
PC4接入到交換機的1、2、3接口上,並不能訪問服務器,實現了信息安全。
2、交換機接口配置
<Huawei>undo terminal monitor Info: Current terminal monitor is off. <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sysname SWA [SWA]vlan 101 [SWA-vlan101]quit [SWA]int g0/0/1 [SWA-GigabitEthernet0/0/1]port hybrid untagged vlan 101 [SWA-GigabitEthernet0/0/1]quit [SWA]int g0/0/2 [SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 101 [SWA-GigabitEthernet0/0/2]quit [SWA]int g0/0/3 [SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 101 [SWA-GigabitEthernet0/0/3]quit [SWA]int g0/0/24 [SWA-GigabitEthernet0/0/24]port link-type access [SWA-GigabitEthernet0/0/24]port default vlan 101 [SWA-GigabitEthernet0/0/24]quit
3、PC的MAC地址與VLAN101關聯
[SWA]vlan 101 [SWA-vlan101] mac-vlan mac-address 5489-9822-36c7 priority 0 [SWA-vlan101] mac-vlan mac-address 5489-98dd-7928 priority 0 [SWA-vlan101] mac-vlan mac-address 5489-98cd-4fed priority 0 [SWA-vlan101]quit [SWA]
4、使能接口的基於 MAC 地址划分 VLAN 功能
[SWA]int g0/0/1 [SWA-GigabitEthernet0/0/1]mac-vlan enable Info: This operation may take a few seconds. Please wait for a moment...done. [SWA-GigabitEthernet0/0/1]quit [SWA]int g0/0/2 [SWA-GigabitEthernet0/0/2]mac-vlan enable Info: This operation may take a few seconds. Please wait for a moment...done. [SWA-GigabitEthernet0/0/2]quit [SWA]int g0/0/3 [SWA-GigabitEthernet0/0/3]mac-vlan enable Info: This operation may take a few seconds. Please wait for a moment...done. [SWA-GigabitEthernet0/0/3]quit [SWA]
5、測試
目前正常情況下PC1、PC2、PC3都可以訪問服務器。
將PC4連接到PC1在交換機上的端口,配置與PC1相同的地址,測試發現不能訪問服務器。
讀書和健身總有一個在路上