摘要：让IP为192.168.10.2的PC1，IP为192.168.20.2的PC2，IP为192.168.30.2的PC3 ，IP为92.168.40.2的PC4， 网关为192.168.1.254和掩码24位的四台电脑，能够跨越不同子网，实现互联互通，同时进行

在构建高效稳定的网络环境时，实现多台计算机之间的顺畅通信是基础需求。

本文将围绕如何通过一系列命令，对交换机进行如下配置实验：

让IP为192.168.10.2的PC1，IP为192.168.20.2的PC2，IP为192.168.30.2的PC3 ，IP为92.168.40.2的PC4， 网关为192.168.1.254和掩码24位的四台电脑，能够跨越不同子网，实现互联互通，同时进行mac地址绑定，确保网络具备一定的安全性与可控性。

在 Windows 系统中，以管理员身份打开命令提示符，输入以下命令依次来设置 PC1、PC2、PC3、PC4 的 IP 地址、子网掩码和网关

这里的 “以太网” 代表电脑的网络连接名称，实际操作中需根据电脑的网络连接实际显示名称进行调整。

上述命令将PC1 的 IP 地址设定为 192.168.10.2，子网掩码为 255.255.255.0（即 24 位掩码），网关设置为 192.168.10.254。，PC1 可以在 192.168.10.0/24 这个子网内进行通信。

PC2 配置到了192.168.20.0/24 子网，其 IP 地址为 192.168.20.2，网关为 192.168.20.254 ，方便后续与同一子网内的设备及通过网关与其他子网设备通信。

PC3 位于192.168.30.0/24 子网，IP 地址为 192.168.30.2，网关为 192.168.30.254，具备了在该子网及跨子网通信的基础条件。

PC4 处于192.168.40.0/24 子网，IP 地址为 192.168.40.2，网关为 192.168.40.254，为其参与网络通信做好准备。

假设交换机为华为设备，以进入 G0/0/1 接口为例，在交换机命令行界面输入

此命令用于进入交换机的 G0/0/1 接口配置模式，后续对该接口的各项设置都将在此模式下完成。

2、开启端口

由于交换机端口默认关闭，执行以下命令开启端口：

这样 G0/0/1 端口就可以正常工作，能够接收和发送数据。

3、设置端口模式为 access

为了连接终端设备，将端口模式设置为 access，输入命令：

port link-type access

access 模式适用于连接像 PC 这样的终端设备，端口只属于一个 Vlan。

3、设置端口所属 VLAN

假设将 G0/0/1 端口划分到 VLAN 10，使用命令：

通过这一系列操作，G0/0/1 端口被配置为可连接 PC1，并属于 VLAN 10。

4. VLAN 批量创建与端口划分：

为了将四台 PC 划分到不同 VLAN，需要批量创建 VLAN 并划分端口。

在交换机命令行输入：

以上命令首先批量创建了 VLAN 10、20、30 和 40，然后分别将 G0/0/1、G0/0/2、G0/0/3 和 G0/0/4 端口划分到对应的 VLAN 中，实现了不同 PC 所在 VLAN 的隔离。

为进一步提升网络安全性，可在交换机上G0/0/1、G0/0/2、G0/0/3 和 G0/0/4端口执行以下命令：

以上四条命令各自承担着重要的安全防护职责。

ipv4 source check user-bing enable：此命令用于开启 IPv4 源地址校验功能。交换机将对通过端口的每一个 IPv4 数据包进行严格审查，仔细核对其源 IP 地址的合法性。一旦发现非法的源 IP 地址，数据包将被拦截，从而有效防止来自非法 IP 的攻击，保障网络内 IPv4 通信的安全。

ipv6 source check user-bing enable：随着 IPv6 网络的广泛应用，开启此命令可对 IPv6 数据包进行源地址校验。交换机能够精准识别并拦截那些携带非法源 IPv6 地址的数据包，为网络的 IPv6 环境构筑起一道坚实的安全防线，确保 IPv6 通信的稳定与安全。

ip source check alarm enable：该命令开启了 IP 源地址检查的告警功能。当交换机检测到异常的 IP 源地址情况，如非法 IP 访问、IP 地址冲突等问题时，会立即触发告警机制。网络管理员可以通过接收这些告警信息，及时发现网络中的潜在安全威胁，并迅速采取相应的处理措施。

ip source check user-bind check-item mac-address：此命令开启了 IP 与 MAC 地址绑定检查功能。交换机在进行 IP 地址合法性校验的同时，会同步检查数据包的源 MAC 地址。只有当 IP 地址和 MAC 地址的组合与预先绑定的信息完全匹配时，数据包才会被允许转发。这一机制能够有效防止非法设备通过伪造 IP 地址的方式接入网络，进一步增强了网络的安全性和可控性。

为了增强网络安全性，防止非法设备接入，进行 MAC 地址绑定。

假设将 PC1 的 MAC 地址（假设为 00-11-22-33-44-55）与 IP 地址 192.168.10.2、接口 G0/0/1 以及 VLAN 10 进行绑定，在交换机命令行输入：

user-bind static ip-address 192.168.10.2 mac-address 10-11-22-33-44-55 interface GigabitEthernet 0/0/1 vlan 10

通过这样的绑定，只有具有指定 MAC 地址的设备，在使用 192.168.10.2 这个 IP 地址时，才能从 G0/0/1 接口且在 VLAN 10 内接入网络。同理，对 PC2、PC3 和 PC4 也可进行类似的 MAC 地址绑定操作，以确保网络设备接入的合法性与安全性。

user-bind static ip-address 192.168.20.2 mac-address 20-11-22-33-44-55 interface GigabitEthernet 0/0/2 vlan 20

user-bind static ip-address 192.168.30.2 mac-address 30-11-22-33-44-55 interface GigabitEthernet 0/0/3 vlan 30

user-bind static ip-address 192.168.40.2 mac-address 40-11-22-33-44-55 interface GigabitEthernet 0/0/4 vlan 40

如果交换机支持三层交换功能，为了实现不同 VLAN 之间的通信，需要配置 VLAN 接口的 IP 地址作为对应 VLAN 的网关。例如：

这些 VLAN 接口的 IP 地址分别作为 PC1、PC2、PC3 和 PC4 的网关，交换机通过这些网关地址进行路由转发，实现不同 VLAN 间的通信。

当 PC1 向 PC2 发送数据时，数据先到达 Vlanif10 接口，交换机根据路由表将数据转发到 Vlanif20 接口，最终送达 PC2。

通过上述一系列以命令为主的配置操作，成功实现了四台电脑在不同子网、不同 VLAN 环境下的相互通信，同时借助 MAC 地址绑定等手段，提升了网络的安全性与可控性。在实际网络构建中，灵活运用这些命令，能够满足各种复杂的网络需求，打造稳定高效的网络环境。

来源：三戒逍遥