在同一个三层交换机(或路由器)上建立几个VLAN,默认情况下,这些VLAN是互通的。 Switch>en
Switch#conf t Switch(config)#hostname 3560 3560(config)#vlan 171 3560(config-vlan)#name boss 3560(config)#vlan 172 3560(config-vlan)#name caiwu 3560(config-vlan)#exit 3560(config)#vlan 176 3560(config-vlan)#name 13F 3560(config-vlan)#exit 3560(config)#vlan 177 3560(config-vlan)#name fushi 3560(config-vlan)#exit 3560(config)#vlan 716 3560(config-vlan)#name wangshang 3560(config-vlan)#exit 3560(config)#interface range f0/1 -4 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 171 3560(config-if-range)#exit 3560(config)#interface ra f0/5 -8 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 172 3560(config)#interface range f0/9 -12 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 176 3560(config-if-range)#exit 3560(config)#interface range f0/13 -16 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 177 3560(config-if-range)#ex 3560(config)#interface range f0/17 -20 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 716 3560(config-if-range)#exit 3560(config)#interface vlan 1 3560(config-if)#ip add 192.168.8.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 171 3560(config-if)#ip add 172.1.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 172 3560(config-if)#ip add 172.2.1.1 255.255.255.0 3560(config-if)#no sh 3560(config)#interface vlan 176 3560(config-if)#ip add 172.6.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 177 3560(config-if)#ip add 172.7.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 716 3560(config-if)#ip add 172.16.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#ip dhcp excluded-address 172.1.1.1 172.1.1.10 3560(config)#ip dhcp excluded-address 172.2.1.1 172.2.1.10 3560(config)#ip dhcp excluded-address 172.6.1.1 172.6.1.10 3560(config)#ip dhcp excluded-address 172.7.1.1 172.7.1.10 3560(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.10 3560(config)#ip dhcp pool vlan171 3560(dhcp-config)# network 172.1.1.0 255.255.255.0 3560(dhcp-config)# default-router 172.1.1.1 3560(dhcp-config)# dns-server 202.96.209.133 3560(dhcp-config)#exi 3560(config)#ip dhcp pool vlan172 3560(dhcp-config)# network 172.2.1.0 255.255.255.0 3560(dhcp-config)# default-router 172.2.1.1 3560(dhcp-config)# dns-server 202.96.209.133 3560(config)#exi 3560(config)#ip dhcp pool vlan176 3560(dhcp-config)# network 172.6.1.0 255.255.255.0 3560(dhcp-config)# default-router 172.6.1.1 3560(dhcp-config)# dns-server 202.96.209.133 3560(dhcp-config)#ex 3560(config)#ip dhcp pool vlan177 3560(dhcp-config)#network 172.7.1.0 255.255.255.0 3560(dhcp-config)#default-router 172.7.1.1 3560(dhcp-config)#dns-server 202.96.209.133 3560(dhcp-config)#exit 3560(config)#ip dhcp pool vlan716 3560(dhcp-config)#network 172.16.1.0 255.255.255.0 3560(dhcp-config)#default-router 172.16.1.1 3560(dhcp-config)#dns-server 202.96.209.133 3560(dhcp-config)#exit 3560(config)#ip dhcp pool vlan192 3560(dhcp-config)#network 192.168.8.0 255.255.255.0 3560(dhcp-config)#default-router 192.168.8.1 3560(dhcp-config)#dns-server 202.96.209.133 [color=red]3560(config)#access-list 171 deny ip 172.2.1.0 0.0.0.255 any 3560(config)#access-list 171 deny ip 172.6.1.0 0.0.0.255 any 3560(config)#access-list 171 deny ip 172.7.1.0 0.0.0.255 any 3560(config)#access-list 171 deny ip 172.16.1.0 0.0.0.255 any 3560(config)#access-list 171 permit ip any any 3560(config)#access-list 172 deny ip 172.1.1.0 0.0.0.255 any 3560(config)#access-list 172 deny ip 172.6.1.0 0.0.0.255 any 3560(config)#access-list 172 deny ip 172.7.1.0 0.0.0.255 any 3560(config)#access-list 172 deny ip 172.16.1.0 0.0.0.255 any 3560(config)#access-list 172 permit ip any any 3560(config)#access-list 176 deny ip 172.1.1.0 0.0.0.255 any 3560(config)#access-list 176 deny ip 172.2.1.0 0.0.0.255 any 3560(config)#access-list 176 deny ip 172.7.1.0 0.0.0.255 any 3560(config)#access-list 176 deny ip 172.16.1.0 0.0.0.255 any 3560(config)#access-list 176 permit ip any any 3560(config)#access-list 177 deny ip 172.1.1.0 0.0.0.255 any 3560(config)#access-list 177 deny ip 172.2.1.0 0.0.0.255 any 3560(config)#access-list 177 deny ip 172.6.1.0 0.0.0.255 any 3560(config)#access-list 177 deny ip 172.16.1.0 0.0.0.255 any 3560(config)#access-list 177 permit ip any any 3560(config)#access-list 116 deny ip 172.1.1.0 0.0.0.255 any 3560(config)#access-list 116 deny ip 172.2.1.0 0.0.0.255 any 3560(config)#access-list 116 deny ip 172.6.1.0 0.0.0.255 any 3560(config)#access-list 116 deny ip 172.7.1.0 0.0.0.255 any 3560(config)#access-list 116 permit ip any any 3560(config)#access-list 192 deny ip 172.2.1.0 0.0.0.255 host 192.168.8.10 3560(config)#access-list 192 deny ip 172.6.1.0 0.0.0.255 host 192.168.8.10 3560(config)#access-list 192 deny ip 172.7.1.0 0.0.0.255 host 192.168.8.10 3560(config)#access-list 192 deny ip 172.16.1.0 0.0.0.255 host 192.168.8.10 3560(config)#access-list 192 deny ip 172.2.1.0 0.0.0.255 host 192.168.8.6 3560(config)#access-list 192 deny icmp any host 192.168.8.5 3560(config)#access-list 192 permit ip any any [/color] [color=red]3560(config)#interface vlan 1 3560(config-if)#ip access-group 192 out 3560(config-if)#exit 3560(config)#interface vlan 171 3560(config-if)#ip access-group 171 out 3560(config-if)#exit 3560(config)#interface vlan 172 3560(config-if)#ip access-group 172 out 3560(config-if)#exit 3560(config)#interface vlan 176 3560(config-if)#ip access-group 176 out 3560(config)#interface vlan 177 3560(config-if)#ip access-group 177 out 3560(config-if)#exit 3560(config)#interface vlan 116 3560(config-if)#ip access-group 116 out 3560(config-if)#exit [/color]3560(config)#ip route 0.0.0.0 0.0.0.0 192.168.8.100 再给你一个案例。。
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 102 per ip any any access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 103 per ip any any access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 104 per ip any any access-list 105 deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 105 deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 105 deny ip 192.168.4.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 105 per ip any any 分别将acl102、103、104、105应用到vlan2、3、4、5的in方向 案例3:
以下配置是在一个思科的交换机上的配置 Switch>en Switch#conf t Switch(config)#hostname 3560 3560(config)#ip routing 3560(config)#vlan 171 3560(config-vlan)#name boss 3560(config)#vlan 172 3560(config-vlan)#name caiwu 3560(config-vlan)#exit 3560(config)#vlan 176 3560(config-vlan)#name 13F 3560(config-vlan)#exit 3560(config)#vlan 177 3560(config-vlan)#name fushi 3560(config-vlan)#exit 3560(config)#vlan 716 3560(config-vlan)#name wangshang 3560(config-vlan)#exit 3560(config)#interface range f0/1 -4 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 171 3560(config-if-range)#exit 3560(config)#interface ra f0/5 -8 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 172 3560(config)#interface range f0/9 -12 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 176 3560(config-if-range)#exit 3560(config)#interface range f0/13 -16 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 177 3560(config-if-range)#ex 3560(config)#interface range f0/17 -20 3560(config-if-range)#switchport mode access 3560(config-if-range)#switchport access vlan 716 3560(config-if-range)#exit 3560(config)#interface vlan 1 3560(config-if)#ip add 192.168.8.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 171 3560(config-if)#ip add 172.1.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 172 3560(config-if)#ip add 172.2.1.1 255.255.255.0 3560(config-if)#no sh 3560(config)#interface vlan 176 3560(config-if)#ip add 172.6.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 177 3560(config-if)#ip add 172.7.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 3560(config)#interface vlan 716 3560(config-if)#ip add 172.16.1.1 255.255.255.0 3560(config-if)#no sh 3560(config-if)#exit 这些VLAN他们现在是互通的,你在交换机上show ip route 你就可以看到好多条路由表,类型是直连。 然后把端口划到不到的VLAN里,并配置网关(这个网管地址就是它的interface vlan的IP. 比如: vlan 716 它的主机地址范围是:172.16.1.2--172.16.1.254 掩码:255.255.255.0 网关172.16.1.1 其他VLAN方法一样, 你这时可以测试一下,你能不能ping通其他VLAN里的主机? 必然是通的。 你想让他们不通都不行。必须要用ACL。。 |
|