应用流策略解决S7700接口DHCP下VLAN互通问题

发布时间:  2014-12-17 浏览次数:  284 下载次数:  0
问题描述
某客户网络,客户希望在汇聚交换机S7700启用DHCP,并考虑隔离VLAN100和VLAN200,从而达到PC1、PC2可以互通,和PC3不能互通的目的。考虑使用流策略完成不同VLAN的相互隔离。
 

根据客户需求在汇聚交换机S7703上开启DHCP,创建VLAN100和VLAN200,并设定接口IP地址分别为192.168.1.254/24和192.168.2.254/24;接入交换机S3700-1和S3700-2创建VLAN100,接入交换机S3700-3创建VLAN200。
[S7700]dhcp enable
[S7700]vlan batch 100 200
[S7700]interface  Vlanif 100
[S7700-Vlanif100]ip address 192.168.1.254 24
[S7700]interface Vlanif 200
[S7700-Vlanif200]ip address 192.168.2.254 24
[S3700-1]vlan 100
[S3700-2]vlan 100
[S3700-3]vlan 200
配置汇聚交换机S7700的下行端口G2/0/1、G2/0/2和G2/0/3为trunk接口,对应接入交换机S3700接口G0/0/1端口为trunk接口,并将S3700接入交换机的下行端口配置为access接口,保证二层互通。
汇聚交换机S7700:
[S7700-GigabitEthernet2/0/1]port link-type  trunk
[S7700-GigabitEthernet2/0/1]port trunk allow-pass vlan 100
[S7700-GigabitEthernet2/0/2]port link-type  trunk
[S7700-GigabitEthernet2/0/2]port trunk allow-pass vlan 100
[S7700-GigabitEthernet2/0/3]port link-type  trunk
[S7700-GigabitEthernet2/0/3]port trunk allow-pass vlan 200
接入交换机S3700:
[S3700]interface  GigabitEthernet 0/0/1
[S3700-GigabitEthernet0/0/1]port link-type trunk
[S3700]interface Ethernet 0/0/1
[S3700-Ethernet0/0/1]port link-type access
[S3700-Ethernet0/0/1]port default vlan 100
分别在两个vlanif接口下开启接口DHCP,下面的终端可以获取到IP地址,得到的结果是,这两个接口下的终端是可以互通的。
[S7700]int vlan 100
[S7700-Vlanif100]dhcp select interface
[S7700]int vlan 200
[S7700-Vlanif200]dhcp select global
可以看到PC1、PC2和PC3分别获得到地址,验证互通性,可以发现PC1和PC2、PC3都是互通,然而,通常我们希望不同VLAN下的终端是不能互通的。
处理过程
应用流策略如下:
[S7700]acl number 3002
[S7700-acl-adv-3002]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.
168.2.0 0.0.0.255
[S7700]traffic classifier 1 operator and
[S7700-classifier-1]if-match acl 3002
[S7700-classifier-1]if-match vlan-id 100
[S7700]traffic behavior 1
[S7700-behavior-1]de
[S7700-behavior-1]deny
[S7700]traffic behavior 1
[S7700-behavior-1]deny
[S7700]traffic behavior 1
[S7700-trafficpolicy-1]classifier 1 behavior 1
[S7700]traffic-policy 1 global  inbound
建议与总结
应用流策略实现了不同VLAN的隔离,从而实现PC1、PC2可以互通,和PC3不能互通的目的。
同样的问题有很多的解决方法,交换机开启DHCP之后,分别在两个vlanif接口下开启接口DHCP,得到的结果是这两个VLAN接口下的终端是可以互通的,然而通常我们希望VLAN是不能互通的,本案例考虑使用流策略实现了接口DHCP下不同VLAN互通的问题。

END