|
本帖最后由 xibanya 于 2023-6-14 17:09 编辑
topo在最下面
基本架构:爱快(pppoe服务端)——爱快lan口——三层交换机——二层网管交换机或弱三层交换机——傻瓜交换机及终端设备
地址规划:
爱快lan1:192.168.10.1/24;pppoe服务地址池:10.1.12.2-10.1.12.254,绑定线路:lan1;
爱快定义acl,阻断进接口lan1,出接口wan,源地址为192.168.30.0/24和192.168.40.0/24的所有流量
三层交换机SW2——vlanif 10:192.168.10.2/24;vlanif30:192.168.30.2/24;vlanif40:192.168.40.2/24
三层交换机dhcp地址池分配:vlanif30:192.168.30/24;vlanif40:192.168.40.0/24
主要配置:
一.三层交换机SW2:
vlan batch 10 30 40
#
dhcp enable @使能dhcp服务
#
ip pool vlan30 @创建名为vlan30的地址池
gateway-list 192.168.30.2 @指定网关
network 192.168.30.0 mask 255.255.255.0
option121 ip-address 192.168.40.0 24 192.168.30.2 #这一步很重要,用于引导优化客户端的路由选路
@插入option121,下发无分类静态路由(因为pppoe客户端拨号后,去往192.168.40.0/24也没有明细路由,此时去往40网段,可能会走ppp链路,让内网访问的流量也跑到爱快转发,形成发卡流量)。
插入后,便会在dhcp offer报文中,下发去往192.168.40.0/24的明细路由,去往该网端直接去找30.2,而不是去找pppooe服务器
#
ip pool vlan40
gateway-list 192.168.40.2
network 192.168.40.0 mask 255.255.255.0
option121 ip-address 192.168.30.0 24 192.168.40.2
#
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.2 255.255.255.0
dhcp select global @开启dhcp服务,从全局地址池中调用地址
#
interface Vlanif40
ip address 192.168.40.2 255.255.255.0
dhcp select global
#
interface GigabitEthernet0/0/1 #连接路由器的接口
port link-type hyrbird #必须使用混合模式,因为aceess接口只能属于一个vlan,trunk接口出向又只能对一个vlan进行tag剥离
port hybrid pvid vlan 10 #本帧vlan定义为vlan 10,即收到不带tag的数据帧,就打上vlan 10的tag进入交换机
port hybrid untagged vlan 10 30 40 #vlan 10 30 40的数据帧,可以从该接口送出。送出时,剥除掉携带的tag
#
interface GigabitEthernet0/0/2 #连接下行vlan交换机的接口
port hybrid pvid vlan 30
port hybrid untagged vlan 10 30
#
interface GigabitEthernet0/0/3
port hybrid pvid vlan 40
port hybrid untagged vlan 10 40
#
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
二.LSW3和LSW4,以LSW3为例
#
interface GigabitEthernet0/0/1 #上联三层的接口
port hybrid pvid vlan 30 #定义缺省vlan,不带tag的帧进入接口,会被打上vlan30的tag
port hybrid untagged vlan 30 #vlan30的数据帧可发向该接口,出交换机时,剥离掉tag
#
interface GigabitEthernet0/0/2 #傻瓜交换机和用户侧
port link-type access
port default vlan 30
理论:以PC-vlan30为例
PC做为dhcp客户端时,dhcp请求到达三层,直接由三层vlanif接口进行了处理;
PC进行pppoe拨号时,数据帧进入LSW3,打上vlan 30的tag,出LSW3,剥掉tag
数据进入LSW2,打上vlan 30的tag,同时因为g0/0/1,可以处理vlan30,当数据从该接口发送出去时,剥掉tag,送到爱快
爱快回应,到了LSW2的g0/0/1,因为缺省vlan为10,不带tag的帧进入LSW2后,打上vlan 10的tag
而LSW2的g0/0/2接口,可处理vlan 10 ,vlan30,vlan10的帧离开时,剥掉tag,发向LSW3
LSW3收到这个不带tag的帧后,打上vlan 30的tag,送向用户侧接口
验证:
PC在不进行拨号上网时,只能内网通信(源地址是192.168.30.x),到了爱快被acl阻断去往外网;
PC进行拨号后,去公网源地址为10.1.12.x(pppoe地址池的地址);而去往内网其它vlan网关,根据明细路由表,将数据发向vlanif接口,避免内网PC通信送去爱快。
|
|