|
轉(zhuǎn)載
今天下午去了一個(gè)公司���,叫我過(guò)去的目的是幫他們劃一下VLAN,本來(lái)想到應(yīng)該還是很簡(jiǎn)單的���,但是沒(méi)有想到想了一下午的辦法才想出來(lái)���。感興趣的話來(lái)試試看你能夠花多少時(shí)間把這個(gè)方案想出來(lái)。
需求:
他們以前沒(méi)有劃分VLAN���,用的一臺(tái)Cisco 2918二層交換機(jī)���,但是他們沒(méi)有做任何配置���,現(xiàn)在由于他們的有一部分計(jì)算機(jī)(192.168.1.0/24)配置比較差,當(dāng)交換機(jī)發(fā)送一個(gè)廣播包的時(shí)候就導(dǎo)致部分計(jì)算機(jī)假死機(jī)狀態(tài)���,于是他們買了一臺(tái)Cisco 3560三層交換機(jī)想把192.168.1.0/24這個(gè)網(wǎng)段與其他網(wǎng)段(10.1.1.0/24���,10.1.2.0/24)的廣播包進(jìn)行分離開(kāi)來(lái)。
以下是對(duì)VLAN劃分的一些要求:
1���、要實(shí)現(xiàn)在SW1上面192.168.1.0/24這個(gè)網(wǎng)段能夠正常訪問(wèn)10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段���。
2、SW1中只允許10.1.1.2/24與10.1.2.2/24這兩臺(tái)PC能夠訪問(wèn)192.168.1.0/24的網(wǎng)段���。 3���、 10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段要能夠正常訪問(wèn)SW2以外的網(wǎng)絡(luò)。(也就是說(shuō)10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段的默認(rèn)網(wǎng)關(guān)還得是10.1.1.1/24或者10.1.2.1/24才行���。因?yàn)楹芏嘣敿?xì)路由在SW2上面才有。) 4、不能讓SW1以外的計(jì)算機(jī)訪問(wèn)SW1中192.168.1.0/24這個(gè)網(wǎng)段���。 5���、 SW2內(nèi)的計(jì)算機(jī)能夠訪問(wèn)SW1的服務(wù)器以及10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段的計(jì)算機(jī)。(sw2為主公司交換機(jī))
拓?fù)鋱D如下:
需求分析:
以前網(wǎng)絡(luò)的分析:
從總部出來(lái)給了一根光纖過(guò)來(lái)���,而這根光纖接入到總部交換機(jī)的VLAN20中���。VLAN20的SVI地址是10.1.1.1/24,10.1.2.1/24這兩個(gè)���,在原始情況下10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段要訪問(wèn)192.168.1.0/24的計(jì)算機(jī)���,他們以前的解決方案是在192.168.1.0/24這個(gè)網(wǎng)段配置雙IP地址,也就是說(shuō)再給他們配置一個(gè)10.1.1.0/24或者10.1.2.0/24網(wǎng)段的地址���。10.1.1.0/24或者10.1.2.0/24這兩個(gè)網(wǎng)段要訪問(wèn)總部以外的網(wǎng)段網(wǎng)關(guān)必須指定10.1.1.1/24���,10.1.2.1/24。
現(xiàn)在的需求分析:
從上面我們已經(jīng)知道他們最主要想利用VLAN來(lái)隔離我們的廣播域���,但需要讓我們SW1上的192.168.1.0/24與SW1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問(wèn)���,還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問(wèn)SW2以及SW2以外的網(wǎng)絡(luò)���。
從上面的需要我們來(lái)分析一下,要隔離廣播域我們都知道使用交換機(jī)上面的VLAN���,這個(gè)很好解決���,但是劃了VLAN以后,要使不同VLAN間進(jìn)行互相訪問(wèn)我們就必須給這個(gè)VLAN的SVI地址設(shè)置一個(gè)IP���。當(dāng)我們PC上面將網(wǎng)關(guān)設(shè)置成為自己所在VLAN下面的SVI地址���,這樣在開(kāi)啟三層交換機(jī)的路由功能就能夠互相訪問(wèn)了,但是在這里我們又遇見(jiàn)一個(gè)問(wèn)題���?那就是從SW2過(guò)來(lái)的光纖給了兩個(gè)IP地址給我們10.1.1.1/24���,10.1.2.1/24。而在SW1上面的10網(wǎng)段中的計(jì)算機(jī)要訪問(wèn)外面的網(wǎng)絡(luò)就必須將這兩個(gè)地址設(shè)置成網(wǎng)關(guān)才行���。
現(xiàn)在我想的辦法就是���,在SW1上面劃分兩個(gè)VLAN,VLAN20用于接192.168.1.0/24這個(gè)網(wǎng)段���,VLAN30用于接10.1.1.0/24與10.1.2.0/24���。VLAN20的SVI地址192.168.1.254/24,而在VLAN30我們給它的SVI地址設(shè)置兩個(gè)IP���,10.1.1.254/24與10.1.2.254/24���。這樣它們兩個(gè)VLAN間通過(guò)這個(gè)SVI地址就可以互相進(jìn)行通信了。
但是SW1中兩個(gè)VLAN可以進(jìn)行通信���,現(xiàn)在又出現(xiàn)一個(gè)新的問(wèn)題���,我們以前10網(wǎng)段的PC,IP地址必須設(shè)置成10.1.1.1/24與10.1.2.1/24才能訪問(wèn)SW2以及它以外的網(wǎng)絡(luò)���,現(xiàn)在我們將它的網(wǎng)關(guān)設(shè)置成10.1.1.254/25與10.1.2.254/24以后���,就不能訪問(wèn)SW2以外的網(wǎng)絡(luò)���,后面我想了一個(gè)辦法就是10網(wǎng)段的PC的網(wǎng)關(guān)還是設(shè)置它以前的(10.1.1.1/24,10.1.2.1/2)���,而在要訪問(wèn)192.168.1.0/24這個(gè)網(wǎng)段的PC���,在PC上的“命令提示符”下面加一條軟路由,
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254 destination^ ^mask ^gateway
這樣當(dāng)我們10網(wǎng)段的PC去往192.168.1.0這個(gè)網(wǎng)段的時(shí)候走10.1.1.254/24這個(gè)網(wǎng)關(guān)���,而默認(rèn)走10.1.1.1/24出來(lái)���,這樣就達(dá)到我們預(yù)期的目的了,但是沒(méi)有加軟件的計(jì)算機(jī)就不能夠訪問(wèn)我們的192.168.1.0的網(wǎng)段了���。
然后他們還要限制某幾臺(tái)10網(wǎng)段中的PC去訪問(wèn)192.168.1.0/24的網(wǎng)絡(luò)���,前面我們提到在PC上面添加軟路由就可以訪問(wèn)我們的192.168.1.0/24的網(wǎng)絡(luò),那有的人就會(huì)想我不讓他們?cè)L問(wèn)的就不加嘛���,那某些人他就想要來(lái)訪問(wèn)我們192.168.1.0/24的網(wǎng)絡(luò)的時(shí)候���,自己添加一條不就能夠訪問(wèn)了���,于是我使用了ACL來(lái)對(duì)他們做一個(gè)限制。只允許固定10網(wǎng)段中的幾臺(tái)PC可以訪問(wèn)192.168.1.0/24���,其他10網(wǎng)段中的計(jì)算機(jī)即使添加了軟路由還是不能夠訪問(wèn),這樣就達(dá)到了我們的效果了���。
以下是配置文檔:
Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 20 //創(chuàng)建VLAN20 Switch(config-vlan)#exit Switch(config)#vlan 30 //創(chuàng)建VLAN30 Switch(config-vlan)#exit Switch(config)#int range fa0/1 -14 //進(jìn)行fa0/1-14這一段接口 Switch(config-if-range)#switchport mode access //將交換機(jī)端口設(shè)置成訪問(wèn)模式 Switch(config-if-range)#switchport access vlan 20 //將該端口加入到vlan20當(dāng)中 Switch(config-if-range)#exit Switch(config)#int range fa0/15 -24 //進(jìn)行fa0/15-24這一段接口 Switch(config-if-range)#switchport mode access //將交換機(jī)端口設(shè)置成訪問(wèn)模式 Switch(config-if-range)#switchport access vlan 30 //將該端口加入到vlan30當(dāng)中 Switch(config-if-range)#exit Switch(config)#int vlan 20 //進(jìn)入VLAN20的SVI接口 Switch(config-if)#ip add 192.168.1.254 255.255.255.0 //給訪問(wèn)接口配置一個(gè)IP地址做為網(wǎng)關(guān) Switch(config-if)#exit Switch(config)#int vlan 30 ////進(jìn)入VLAN30的SVI接口 Switch(config-if)#ip add 10.195.93.254 255.255.255.0//給訪問(wèn)接口配置一個(gè)IP地址做為網(wǎng)關(guān) Switch(config-if)#ip add 10.195.91.254 255.255.255.0 sec//給訪問(wèn)接口配置第二個(gè)IP地址做為網(wǎng)關(guān) Switch(config-if)#exit Switch(config)#ip routing //開(kāi)啟我們的路由功能 Switch(config)# access-list 100 permit ip 10.1.1.2 0.0.0.0 192.168.1.0 255.255.255.0 //允許10.1.1.2訪問(wèn)192.168.1.0/24 Switch(config)# access-list 100 permit ip 10.1.2.2 0.0.0.0 192.168.1.0 255.255.255.0 //允許10.1.2.2訪問(wèn)192.168.1.0/24 Switch(config)# access-list 100 deny ip any any //其他的都拒絕 Switch(config)#int vlan 20 //進(jìn)入VLAN20的SVI接口 Switch(config-if)#ip access-group 100 in //調(diào)用我們剛才建立的ACL100方向使用進(jìn)���,因?yàn)槲覀兪菍?duì)來(lái)的數(shù)據(jù)進(jìn)行檢查。 Switch(config-if)#exit
|
