需求:
某公司以前沒有劃分vlan,用的一台cisco 2918二層交換機,但是他們沒有做任何配置,現在由於他們的有一部分計算機(192.168.1.0/24)配置比較差,當交換機傳送乙個廣播包的時候就導致部分計算機假死機狀態,於是他們買了一台cisco 3560三層交換機想把192.168.1.0/24這個網段與其他網段(10.1.1.0/24,10.1.2.0/24)的廣播包進行分離開來。
以下是對vlan劃分的一些要求:
1、 要實現在sw1上面192.168.1.0/24這個網段能夠正常訪問10.1.1.0/24與10.1.2.0/24這兩個網段。
2、 10.1.1.0/24與10.1.2.0/24這兩個網段要能夠正常訪問sw2以外的網路。程式設計客棧(也就是說10.1.1.0/24與10.1.2.0/24這兩個網段的預設閘道器還得是10.1.1.1/24或者10.1.2.1/24才行。因為很多詳細路由在sw2上面才有。)
3、 不能讓sw1以外的計算機訪問sw1中192.168.1.0/24這個網段。
4、 sw2內的計算機能夠訪問sw1的伺服器以及10.1.1.0/24與10.1.2.0/24這兩個網段的計算機。
5、 sw1中只允許10.1.1.2/24與10.1.2.2/24這兩台pc能夠訪問192.168.1.0/24的網段。
拓撲圖如下:
需求分析:
以前網路的分析:
從總部出來給了一根光纖過來,而這根光纖接入到總部交換機的vlan20中。vlan20的svi位址是10.1.1.1/24,10.1.2.1/24這兩個,在原使情況下10.1.1.0/24與10.1.2.0/24這兩個網段要訪問192.168.1.0/24的計算機,他們以前的解決方案是在192.168.1.0/24這個網段配置雙ip位址,也就是說再給他們配置乙個10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24程式設計客棧這兩個網段要訪問總部以外的網段閘道器必須指定10.1.1.1/24,10.1.2.1/24。
現在的需求分析:
從上面我們已經知道他們最主要想利用vlan來隔離我們的廣播域,但需要讓我們sw1上的192.168.1.0/24與sw1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問,還不能影響sw1上面的10.1.1.0/24與10.1.2.0/24訪問sw2以及sw2以外的網路。
從上面的需要我們來分析一下,要隔離廣播域我們都知道使用交換機上面的vlan,這個很好解決,但是劃了vlan以後,要使不同vlan間進行互相訪問我們就必須給這個vlan的svi位址設定乙個ip。當我們pc上面將閘道器設定成為自己所在vlan下面的svi位址,這樣在開啟三層交換機的路由功能就能夠互相訪問了,但是在這裡我們又遇見乙個問題?那就是從sw2過來的光纖給了兩個ip位址給我們10.1.1.1/24,10.1.2.1/24。atwtnvrd而在sw1上面的10網段中的計算機要訪問外面的網路就必須將這兩個位址設定成閘道器才行。這很明顯它是乙個二層的介面,也就是說在sw2上面劃分了乙個vlan,而這根光纖就接在該vlan下面的,而該vlan的siv位址就是10.1.1.1/24,10.1.2.1/24。而我們現在只能利用sw1來進行做配置,sw2在總部我們動不到。我們現在能動的也就只有sw1上面。
現在我想的辦法就是,在sw1上面劃分兩個vlan,vlan20用於接192.168.1.0/24這個網段,vlan30用於接10.1.1.0/24與10.1.2.0/24。vlan20的svi位址192.168.1.254/24,而在vlan30我們給它的svi位址設定兩個ip,10.1.1.254/25與10.1.2.254/24。這樣它們兩個vlan間通過這個svi位址就可以互相進行通訊了。
但是sw1中兩個vlan可以進行通訊,現在又出現乙個新的問題,我們以前10網段的pc,ip位址必須設定成10.1.1.1/25與10.1.2.1/24才能訪問sw2以及它以外的網路,現在我們將它的閘道器設定成10.1.1.254/25與10.1.2.254/24以後,就不能訪問sw2以外絡,後面我想了乙個辦法就是10網段的pc的閘道器還是設定它以前的(10.1.1.1/24,10.1.2.1/2),而在要訪問192.168.1.0/24這個網段的pc,在pc上的「命令提示符」下面加一條軟路由,
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254
destination^ ^mask &n程式設計客棧bsp; ^gateway
這樣當我們10網段的pc去往192.168.1.0這個網段的時候走10.1.1.254/24這個閘道器,而預設走10.1.1.1/24出來,這樣就達到我們預期的目的了,但是沒有加軟體的計算機就不能夠訪問我們的192.168.1.0的網段了。
然後他們還要限制某幾台10網段中的pc去訪問192.1程式設計客棧68.1.0/24的網路,前面我們提到在pc上面新增軟路由就可以訪問我們的192.168.1.0/24的網路,那有的人就會想我不讓他們訪問的就不加嘛,那某些人他就想要來訪問我們192.168.1.0/24的網路的時候,自己新增一條不就能夠訪問了,於是我使用了acl來對他們做乙個限制。只允許固定10網段中的幾台pc可以訪問192.168.1.0/24,其他10網段中的計算機即使新增了軟路由還是不能夠訪問,這樣就達到了我們的效果了。
以下是配置文件:
上面所述都是如何劃分vlan、使用acl的整個完整思路,希望可以幫助大家更好的掌握三層交換機關於vlan的劃分以及acl的使用。
本文標題: vlan的劃分以及acl的使用實踐案例分析
本文位址:
VLAN的劃分方法
vlan在交換機上的劃分方法共有6類 1.基於埠劃分vlan 這是一種最常用的劃分方法,應用最為廣泛.最有效.2.基於mac位址劃分vlan 這種劃分的方法是根據每個主機的mac位址來劃分,即每個mac位址的主機都配置屬於哪個組.他實現的機制就是每一塊網絡卡都對應唯一的 mac位址,vlan交換機跟...
VLAN的劃分方法
vlan在交換機上的劃分方法共有6類 1.基於埠劃分vlan 這是一種最常用的劃分方法,應用最為廣泛.最有效.2.基於mac位址劃分vlan 這種劃分的方法是根據每個主機的mac位址來劃分,即每個mac位址的主機都配置屬於哪個組.他實現的機制就是每一塊網絡卡都對應唯一的 mac位址,vlan交換機跟...
簡單的VLAN劃分
ensp 軟體 兩台華為5700交換機,4臺pc pc可以用路由器代替 跳線若干條。裝置ip位址 pc110.0.1.1 pc210.0.2.2 pc310.0.1.3 pc410.0.2.4 pc510.0.3.5 huawei system view huawei sysname r1 r1 i...