一、背景需求:

在一些带机量大的场景中,为避免网络中的广播风暴影响网络质量,某公司希望将内网进行广播域隔离,划分3个VLAN,同时需要 VLAN10 和 VLAN20 实现内网间互访,VLAN30 和 其他两个隔离,网管员能够远程管理内网设备。

这里,我会用GNS3复原当时的情形。

现有设备如下:
H3C ER系列路由器一台,
cisco C3560交换机一台,

可选方案:
1、采用单臂路由模式,vlan在三层交换机上划分,网关,DHCP均由路由器完成。(不推荐使用)这里不做演示,如有需求可看我另一篇文档:

2、将网关、dhcp地址池,架设在三层,三层交换机和路由器之间采用静态路由转发数据。ACL实现VLAN间隔离。

这里采用第二种方案。将网关、dhcp均由核心交换机完成。采用默认路由将流量转发给路由器。

二、网络拓扑

网络地址规划:

VLAN10: 10.0.10.0 /24 ,网关: 10.0.10.254
PC1:10.0.10.1 /24
PC2:10.0.10.2 /24

VLAN20: 10.0.20.0 /24,网关: 10.0.20.254
PC3:10.0.20.1 /24
PC4:10.0.20.2 /24

VLAN30: 10.0.30.0 /24,网关: 10.0.30.254
PC5:10.0.30.1 /24
PC6:10.0.30.2 /24

路由器 f0/0:172.16.2.1 /24
交换机 f1/15:172.16.2.2 /24

三、配置过程

1、若是旧机器,需要清空交换机原有配置。(如是全新设备,可以跳过此步骤)

这里不做演示,需要过程请看我另一篇文档:如何将思科交换机恢复出产设置?

2、初始化机器之后,重启交换机。

在路由器和交换机第一次启动或者刚初始化后启动会直接进入到会话模式,按Ctrl+c 命令跳过会话模式进入手工配置模式(命令模式)。另一种就是在特权命令状态使用Setup 命令也可通过交互方式对网络设备进行问话式配置。

         --- System Configuration Dialog ---Enable secret warning
Would you like to enter the initial configuration dialog? [yes/no]: yesAt any point you may enter a question mark '?' for help.   // 任何时候可以打?取得帮助
Use ctrl-c to abort configuration dialog at any prompt.    // 按Ctrl-C 可以取消并退出
Default settings are in square brackets '[]'.              // 默认参数在[] 中Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the systemWould you like to enter basic management setup? [yes/no]: yes   // 继续交互配置吗
Configuring global parameters:Enter host name [Switch]: Cy10th3560     // 输入交换机名称The enable secret is a password used to protect access to
privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret: test     // 输入EXEC 模式密码The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password: test     // 输入enable 模式密码The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password:  test    // 输入虚拟控制端登录密码
Configure SNMP Network Management? [no]: no    // 是否配置SNMP 管理Enter interface name used to connect to the management network from the above interface summary:vlan1
// 输入用户网络管理的接口
Configuring interface Vlan1:
Configure IP on this interface? [no]: yes // 是否为接口配置IP 地址
IP address for this interface: 172.16.1.1
Subnet mask for this interface [255.255.255.0] : 255.255.255.0
Class C network is 172.16.0.0, 24 subnet bits; mask is /24
Would you like to enable as a cluster command switch? [yes/no]: no //是使用集群模式
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.
Enter your selection [2]: 2 // 保存配置

以上是设置了交换机对的管理VLAN1的管理VLAN:VLAN1的IP地址:172.16.1.1,没有上述步骤也可自行配置。如下:

C3560#conf t
C3560(config)#int vlan1
C3560(config-if)#ip add 172.16.1.1 255.255.255.0
C3560(config-if)#no shutdown C3560(config)#line vty 0 4
C3560(config-line)#password test
C3560(config-line)#login
C3560(config)#enable password test
C3560(config)#line console 0
C3560(config-line)#password testC3560(config)#ip default-gateway 172.16.1.254 \\设置交换机的默认网关(全局配置模式下)二层交换机配置了管理IP地址后,在管理地址的同网段内,设备可通过管理IP地址来远程访问交换机。
但若要跨网段去登录连接到另一个网段的二层交换机,则必须给二层交换机配置指定默认网关,双方的二层交换机都要配置指定默认网关地址。
企业局域网中一般会用到多个VLAN和网段,一般不同地址段的路由都是在上层设备上做通了的,而一般二层交换机只要将网关指向汇聚/核心层的三层设备的网管IP就可以了。

3、下面正式开始配置:

R1:

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#no shutR1(config)#ip route 10.0.10.0 255.255.255.0 172.16.2.2   \\去往VLAN的默认路由
R1(config)#ip route 10.0.20.0 255.255.255.0 172.16.2.2
R1(config)#ip route 10.0.30.0 255.255.255.0 172.16.2.2

SW:

C3560#vlan database
C3560(vlan)#vlan 10 name \\vlan10_PC
C3560(vlan)#vlan 20 name \\vlan20_shebei
C3560(vlan)#vlan 30 name \\vlan30_APC3560(config)#int vlan 10
C3560(config-if)#ip add 10.0.10.254 255.255.255.0
C3560(config-if)#no shutdown
C3560(config-if)#int vlan 20
C3560(config-if)#ip add 10.0.20.254 255.255.255.0
C3560(config-if)#no shutdown
C3560(config-if)#int vlan 30
C3560(config-if)#ip add 10.0.30.254 255.255.255.0
C3560(config-if)#no shutdown C3560(config-if)#int f1/15
C3560(config-if)#no switchport     \\转换为3层接口
C3560(config-if)#ip add 172.16.2.2 255.255.255.0
C3560(config-if)#ip route 0.0.0.0 0.0.0.0 172.16.2.1  \\指向路由器的默认路由
C3560(config)#ip routing   \\开启IPV4的路由功能C3560(config)#int f1/1     //真机可以使用范围配置更快,模拟器好像不支持  int f1/1-2
C3560(config-if)#switchport access vlan 10
C3560(config-if)#int f1/2
C3560(config-if)#switchport access vlan 10
C3560(config-if)#int f1/3
C3560(config-if)#switchport access vlan 20
C3560(config-if)#int f1/4
C3560(config-if)#switchport access vlan 20
C3560(config-if)#int f1/5
C3560(config-if)#switchport access vlan 30
C3560(config-if)#int f1/
C3560(config-if)#switchport access vlan 30C3560(config-if)#do show vlan-switch  //查看vlan信息,真机中:do show vlan brief


可以看到,接口都以划入VLAN中了。

4、接下来配置DHCP地址池、网关、DNS、保留地址等。

SW:

C3560(dhcp-config)#ip dhcp pool vlan10
C3560(dhcp-config)#network 10.0.10.0 /24
C3560(dhcp-config)#default-router 10.0.10.254
C3560(dhcp-config)#dns-server 8.8.8.8
C3560(config)#ip dhcp excluded-address 10.0.10.200 10.0.10.254C3560(dhcp-config)#ip dhcp pool vlan20
C3560(dhcp-config)#network 10.0.20.0 /24
C3560(dhcp-config)#default-router 10.0.20.254
C3560(dhcp-config)#dns-server 8.8.8.8
C3560(config)#ip dhcp excluded-address 10.0.20.200 10.0.20.254C3560(dhcp-config)#ip dhcp pool vlan30
C3560(dhcp-config)#network 10.0.30.0 /24
C3560(dhcp-config)#default-router 10.0.30.254
C3560(dhcp-config)#dns-server 8.8.8.8
C3560(config)#ip dhcp excluded-address 10.0.30.200 10.0.30.254

5、因为是用路由器模拟的PC,所以每个PC都需要关闭路由功能。这里只演示PC1,其余自行完成。

PC1#conf t
PC1(config)#ip routingPC2#
……
PC3#
……

6、设置PC在接口下,通过dhcp自动获取ip地址

PC1(config)#ip address
PC1(config)#int f0/0
PC1(config-if)#ip address dhcp
PC1(config-if)#no shutdownPC2(config)#ip address
PC2(config)#int f0/0
PC2(config-if)#ip address dhcp
PC2(config-if)#no shutdown
………………
自行配置其余PC

检查PC是否获取到地址,发现接口状态已经up,且获得了dhcp分配的地址


测试VLAN下的所有主机能否正常通信。

7、最后就需要隔离VLAN30了,使其不能与VLAN10和VLAN20通信。

C3560(config)#access-list 100 deny ip 10.0.30.0 0.0.0.255 10.0.10.0 0.0.0.255
C3560(config)#access-list 100 deny ip 10.0.30.0 0.0.0.255 10.0.20.0 0.0.0.255
C3560(config)#access-list 100 permit ip any any
C3560(config)#int vlan 30
C3560(config-if)#ip access-group 100
C3560(config-if)#ip access-group 100 inC3560(config)#access-list 101 deny ip 10.0.20.0 0.0.0.255 10.0.30.0 0.0.0.255
C3560(config)#access-list 101 permit ip any any
C3560(config)#int vlan 20
C3560(config-if)#ip access-group 101
C3560(config-if)#ip access-group 101 inC3560(config)#access-list 102 deny ip 10.0.10.0 0.0.0.255 10.0.30.0 0.0.0.255
C3560(config)#access-list 102 permit ip any any
C3560(config)#int vlan 10
C3560(config-if)#ip access-group 102
C3560(config-if)#ip access-group 102 in

8、测试VLAN10与VLAN30的通信



可以看到vlan10与vlan30互相不能通信

9、下面测试VLAN20与VLAN30之间的通信


10、最后,查看VLAN10与VLAN20之间的通信。



结论:VLAN10与VALN20可以通信,与VLAN30不能通信!!

拓扑图下载:gns3安装包+路由器镜像+拓扑图
(使用GNS3打开,路由器为:镜像C3660路由器)

【思科】某小型企业网组网案例-三层交换机划多VLAN与路由器相连,ACL控制访问权限相关推荐

  1. 小型企业网组网 同时实现高可靠性

    我是艺博东 ,一个思科出身专注于华为的网工. 文章目录 组网拓扑 可以用到的技术有哪些以及配置 相关技术的配置 组网拓扑 上图为一个小型企业网的组网图,路由器R1和路由器R2作为企业的出口,核心交换机 ...

  2. H3C 三层交换机 设置俩vlan不能相互通讯,只能访问某个端口,且其中一个vlan不能上网...

    三层交换机 S5500与 路由器ER5200G2 相关配置 设定3个VLAN  VLAN10. VLAN20. VLAN30 VLAN10与VLAN30相互互通.但是与VLAN20不通 项目需求三层交 ...

  3. 轻松实现 30节点小型办公室组网方案

    "组网"是网友们经常讨论的一个话题,如何让组网的费用降到最低,同时又保持网络的稳定和可靠,让许多朋友感到头疼.在这里,我们介绍一个目前最常见的30人组网方案,希望给大家在组网时带来 ...

  4. 思科三层交换机不同vlan互通_思科三层交换机实现不同VLAN间互相访问配置

    思科三层交换机实现不同VLAN间互相访问配置 案例解决:思科二层交换机不具备三层交换能力,无法在两个VLAN之间提供路由,为了解决这一问题,就必须增加思科路由器或思科三层交换机之类的路由设备.我们这里 ...

  5. 小型企业网三层架构(基于CISCO设备)

    小型企业网三层架构(基于CISCO设备,Packet Tracer7.0) 以下两个链接,是博主关于如下架构实验中具体技术进行详细分析所总结的博客,欢迎大家访问参考 企业网核心技术-网关冗余协议(HS ...

  6. 基于eNSP的小型企业网(附ensp源文件)

    基于eNSP的小型企业网 文章目录 前言 一.规划好VLAN 二.DHCP配置 三.stp和vrrp配置 四.OSPF和NAT的配置 五.检验内网的电脑能否连接外网的电脑 前言 所涉及的技术 vlan ...

  7. 用思科模拟器实现三层交换机下不同VLAN之间的通信

    用思科模拟器实现三层交换机下不同VLAN之间的通信 实验目标:在三层交换机下实现不同VLAN的PC机之间的通信 工具: CisicoPacketTracer6 实验设备: 六台PC机,四台接入层交换机 ...

  8. 松下小型plc程序案例,plc型号为fp-xh c60t,案例中有两个plc

    松下小型plc程序案例,plc型号为fp-xh c60t,案例中有两个plc,采用plc-link通讯,带有五个轴,轴控制采用数据表模式,附带触摸屏程序,两个plc一个触摸屏,编程手册和数据表模式文档 ...

  9. 思科模拟器小型局域网组建(4子网,RIPV2组建)

    思科模拟器小型局域网组建(4子网,RIPV2组建) Windows下载模拟器 连接设备 配置路由 配置电脑 总结 Windows下载模拟器 我在如下文章中下载并按照文章提示安装 链接: 思科模拟器的简 ...

最新文章

  1. RE validation in Java EE
  2. P1375-小猫【卡特兰数】
  3. 球形坐标和Cartesian 坐标的转换 spherical coordinate
  4. 【Java】深入剖析Java输入输出的那些细节
  5. 信息学奥赛一本通(1171:大整数的因子)
  6. NameNode启动
  7. 一分钟区分一流公司、二流公司、三流公司(转)
  8. java输出到txt,换行问题
  9. Matlab安装过程
  10. Step4:从单应矩阵中分离得到内参和外参(需要拍摄n=3张标定图片)
  11. 利用百度身份证识别服务和python语言实现身份证信息的提取和保存
  12. 腾讯地图仿微信发送位置功能
  13. android平板能玩吃鸡吗,刺激战场用什么平板好 平板吃鸡配置推荐
  14. JAVA学习——Lambda表达式是干什么用的?
  15. android手机裸眼3D技术原理和编程实现
  16. Yii 框架执行流程
  17. Email邮件发送设置 工具开发整理(网易邮箱、Mailgun为例) 上篇
  18. vue显示农历_vue中通过时间转换农历得方法封装
  19. DBCO-PEG-NHS,NHS-PEG-DBCO,二苯并环辛炔-聚乙二醇-活性酯,DBCO-PEG衍生物
  20. Ranger学习(一)

热门文章

  1. 利用AD创建封装,并导入立创EDA
  2. 大型企业如何搭建企业邮箱系统?
  3. 2021年第一季开发者报告新鲜出炉,最流行的编程语言竟然是它!
  4. html中comment标签作用,comment标记是什么?
  5. 开源项目:张帅个人博客
  6. 13岁出道,16岁被小扎看中,19岁成脸书最年轻工程师,如今跳槽谷歌只为了.……
  7. 让人叹为观止的蛋壳艺术
  8. 【转】C#索引器-索引器的定义
  9. 你真的需要文档管理软件吗?
  10. 网页代码扒ppt_怎么在网页中在线浏览ppt文档