场景二解析
• PC1与PC2不能互访 • 因两台PC不同网段。两台交换机同为网关设备，它们之间是纯三层 的关系。 • 实现互访需要在两台交换机之前启用三层协议。（静态路由或动态路 由） • 其实此场景有一点迷惑效果，理解的把握二层和三层之间最基本的区 分。
场景三解析
• 首先说在此场景下两台PC是可以互访的。 • 这点大家一定要记住同一台交换机上所有下带设备的网关网段不管是 否同一网段都可以互通。（交换机的转发机制） • 再次阐述如何实现不能互访： • 利用访问控制列表实现不能互访。建立ACL。ACL下建立deny的rule， 此rule标注相应的源地址和目的地址。这样就可以禁止互访。 • 常用环境：办公网络只有一台汇聚交换机（网关交换机），要求下带 各个部门之间的办公电脑不能互访，或者指明哪些部门可以互访、哪 些部分部门不能互访。通常以上述方式实现.
场景四解析
• 其实这个图就是场景一和场景三的一个延伸，希望大家能理解透彻。 • 环境PC1、PC2、PC3及服务器同属于一个网段，要求各PC之间不能 互访。直接把各个PC用VLAN隔离开即可（access类型）。这个时候 还要满足各PC与服务器互访，首先要确定服务器与交换机的端口类 型。交换机互联端口的类型必须识别没有vlan标识的数据包，只有两 种形式一种为access和hybrid untagged形式，因多个vlan所以只能做 成hybrid untagged形式得以实现。 • 方法二： • 在交换机上启用网关。然后使用ACL同场景三方法一样，分别建立相 应的rule来阻止各PC之间互访。PC与服务器不做任何限制即可互访。
谢谢！
场景五解析
• 此场景用到非常重要的二层协议vrrp、stp、链路捆绑及三层协议。 • 三层协议用在SW与上行路由器。（静态路由或动态路由） • 简单解析一下vrrp。此协议是冗余备份的协议，vrrp协议下两台设备 有主备之分，以设置优先级区分，越大越优先。两台SW设备各有一 个实体地址，而且共同拥有一个虚地址，对外对内都是使用虚地址转 发报文。通常Vrrp协议是监控上行链路的。上行链路断掉后VRRP会 自动倒换。（需配置）。 • 重要一点！！！大家一定要注意到两台SW之间的两条连线，做了一 个链路捆绑（eth-trunk 0）。此连线为VRRP的心跳线。心跳线非常 重要绝对不能中断，现网情况尽量规划多条。心跳线是交互VRRP报 文的，如果心跳线断掉后。VRRP报文交互不了。最终会形成两主状 态。网络出现故障。 • 此环境就是让大家熟悉掌握vrrp、stp及链路捆绑的应用。
二层交换机经典应用
• 场景一：
• 场景二：
• 场景三：
ቤተ መጻሕፍቲ ባይዱ
• 场景四：
• 场景五：
场景一解析
• PC1与PC2无法实现互访。 • PC1的IP报文经过vlan100的端口时会打上一个vlan100的标签，然后 通过互联口进行透传到另外一台交换机上，到达vlan200端口时此IP 报文携带vlan100的标签。因vlan200端口标签不识别，报文丢弃掉。 • 实现互访把链接PC的两个端口修改成同一vlan • 主要理解access和trunk两种类型端口的报文转发。