三層交換機關於VLAN的劃分以及ACL的使用

 

今天下午去了一個公司，叫我過去的目的是幫他們劃一下VLAN，原本想到應該仍是很簡單的，可是沒有想到想了一下午的辦法纔想出來。感興趣的話來試試看你可以花多少時間把這個方案想出來。

需求：

他們之前沒有劃分VLAN，用的一臺Cisco 2918二層交換機，可是他們沒有作任何配置，如今因爲他們的有一部分計算機（192.168.1.0/24）配置比較差，當交換機發送一個廣播包的時候就致使部分計算機假死機狀態，因而他們買了一臺Cisco 3560三層交換機想把192.168.1.0/24這個網段與其餘網段（ 10.1.1 .0/24，10.1.2.0/24）的廣播包進行分離開來。

如下是對VLAN劃分的一些要求：

一、  要實如今SW1上面192.168.1.0/24這個網段可以正常訪問 10.1.1 .0/24與10.1.2.0/24這兩個網段。

二、  10.1.1 .0/24與10.1.2.0/24這兩個網段要可以正常訪問SW2之外的網絡。（也就是說10.1.1.0/24與10.1.2.0/24這兩個網段的默認網關還得是10.1.1.1/24或者10.1.2.1/24才行。由於不少詳細路由在SW2上面纔有。）

三、  不能讓SW1之外的計算機訪問SW1中192.168.1.0/24這個網段。

四、  SW2內的計算機可以訪問SW1的服務器以及 10.1.1 .0/24與10.1.2.0/24這兩個網段的計算機。

五、  SW1中只容許 10.1.1 .2/24與10.1.2.2/24這兩臺PC可以訪問192.168.1.0/24的網段。

 

拓撲圖以下：

需求分析：

 之前網絡的分析：

從總部出來給了一根光纖過來，而這根光纖接入到總部交換機的VLAN20中。VLAN20的SVI地址是 10.1.1 .1/24，10.1.2.1/24這兩個，在原使狀況下10.1.1.0/24與10.1.2.0/24這兩個網段要訪問192.168.1.0/24的計算機，他們之前的解決方案是在192.168.1.0/24這個網段配置雙IP地址，也就是說再給他們配置一個10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24這兩個網段要訪問總部之外的網段網關必須指定10.1.1.1/24，10.1.2.1/24。

如今的需求分析：

從上面咱們已經知道他們最主要想利用VLAN來隔離咱們的廣播域，但須要讓咱們SW1上的192.168.1.0/24與SW1上的 10.1.1 .2/24與10.1.2.2/24可以正常訪問，還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問SW2以及SW2之外的網絡。

從上面的須要咱們來分析一下，要隔離廣播域咱們都知道使用交換機上面的VLAN，這個很好解決，可是劃了VLAN之後，要使不一樣VLAN間進行互相訪問咱們就必須給這個VLAN的SVI地址設置一個IP。當咱們PC上面將網關設置成爲本身所在VLAN下面的SVI地址，這樣在開啓三層交換機的路由功能就可以互相訪問了，可是在這裏咱們又碰見一個問題？那就是從SW2過來的光纖給了兩個IP地址給咱們 10.1.1 .1/24，10.1.2.1/24。而在SW1上面的10網段中的計算機要訪問外面的網絡就必須將這兩個地址設置成網關才行。這很明顯它是一個二層的接口，也就是說在SW2上面劃分了一個VLAN，而這根光纖就接在該VLAN下面的，而該VLAN的SIV地址就是10.1.1.1/24，10.1.2.1/24。而咱們如今只能利用SW1來進行作配置，SW2在總部咱們動不到。咱們如今能動的也就只有SW1上面。

如今我想的辦法就是，在SW1上面劃分兩個VLAN，VLAN20用於接192.168.1.0/24這個網段，VLAN30用於接 10.1.1 .0/24與10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24，而在VLAN30咱們給它的SVI地址設置兩個IP，10.1.1.254/25與10.1.2.254/24。這樣它們兩個VLAN間經過這個SVI地址就能夠互相進行通訊了。

可是SW1中兩個VLAN能夠進行通訊，如今又出現一個新的問題，咱們之前10網段的PC，IP地址必須設置成 10.1.1 .1/25與10.1.2.1/24才能訪問SW2以及它之外的網絡，如今咱們將它的網關設置成10.1.1.254/25與10.1.2.254/24之後，就不能訪問SW2之外絡，後面我想了一個辦法就是10網段的PC的網關仍是設置它之前的（10.1.1.1/24，10.1.2.1/2），而在要訪問192.168.1.0/24這個網段的PC，在PC上的「命令提示符」下面加一條軟路由，

> route add 192.168.1.0 mask 255.255.255.0 10.1.1 .254

         destination^      ^mask       ^gateway

這樣當咱們10網段的PC去往192.168.1.0這個網段的時候走 10.1.1 .254/24這個網關，而默認走10.1.1.1/24出來，這樣就達到咱們預期的目的了，可是沒有加軟件的計算機就不可以訪問咱們的192.168.1.0的網段了。

而後他們還要限制某幾臺10網段中的PC去訪問192.168.1.0/24的網絡，前面咱們提到在PC上面添加軟路由就能夠訪問咱們的192.168.1.0/24的網絡，那有的人就會想我不讓他們訪問的就不加嘛，那某些人他就想要來訪問咱們192.168.1.0/24的網絡的時候，本身添加一條不就可以訪問了，因而我使用了ACL來對他們作一個限制。只容許固定10網段中的幾臺PC能夠訪問192.168.1.0/24，其餘10網段中的計算機即便添加了軟路由仍是不可以訪問，這樣就達到了咱們的效果了。

如下是配置文檔：

Switch#conf t Enter configuration commands, one per line.  End with CNTL/Z. Switch(config)#vlan 20   // 建立VLAN20 Switch(config-vlan)#exit Switch(config)#vlan 30   // 建立VLAN30 Switch(config-vlan)#exit Switch(config)#int range fa0/1 -14    // 進行fa0/1-14 這一段接口 Switch(config-if-range)#switchport mode access  // 將交換機端口設置成訪問模式 Switch(config-if-range)#switchport access vlan 20  // 將該端口加入到vlan20 當中 Switch(config-if-range)#exit Switch(config)#int range fa0/15 -24    // 進行fa0/15-24 這一段接口 Switch(config-if-range)#switchport mode access    // 將交換機端口設置成訪問模式 Switch(config-if-range)#switchport access vlan 30   // 將該端口加入到vlan30 當中 Switch(config-if-range)#exit Switch(config)#int vlan 20    // 進入VLAN20 的SVI 接口 Switch(config-if)#ip add 192.168.1.254 255.255.255.0 // 給訪問接口配置一個IP 地址作爲網關 Switch(config-if)#exit Switch(config)#int vlan 30   //// 進入VLAN20 的SVI 接口 Switch(config-if)#ip add 10.195.93.254 255.255.255.0// 給訪問接口配置一個IP 地址作爲網關 Switch(config-if)#ip add 10.195.91.254 255.255.255.0 sec// 給訪問接口配置第二個IP 地址作爲網關 Switch(config-if)#exit Switch(config)#ip routing  // 開啓咱們的路由功能 Switch(config)# access-list 100 permit i p 10.1.1 .2 0.0.0 .0 192.168.1.0 255.255.255.0     // 容許10.1.1.2 訪問192.168.1.0/24 Switch(config)# access-list 100 permit i p 10.1.2 .2 0.0.0 .0 192.168.1.0 255.255.255.0     // 容許10.1.2.2 訪問192.168.1.0/24 Switch(config)# access-list 100 deny ip any any  // 其餘的都拒絕 Switch(config)#int vlan 20   // 進入VLAN20 的SVI 接口 Switch(config-if)#ip access-group 100 in    // 調用咱們剛纔創建的ACL100 方向使用進，由於咱們是對來來的數據進行檢查。 Switch(config-if)#exit

以上就是我在交換機上面所作的配置。下面來看看PC上面如何設置呢？

在PC上面打開「命令提示符」，輸入「route print」能夠進行查看當前PC上面的路由表。

從上圖咱們能夠看見咱們沒有去往192.168.1.0/24的網段，而默認路由走的是 10.1.1 .1/24去了，因此在這裏咱們就必須本身手功添加一條路由。

注意在WIN7下面咱們必須以管理員的身份才能進行添加哦。從上圖咱們能夠看見已經添加成功了，咱們再來查看一下PC上面的路由表看看有沒有去往192.168.1.0/24的網絡，是否是走的 10.1.1 .254/24這個地址。

看看上面的路由表裏面是否是有一條192.168.1.0/24走的 10.1.1 .254。而這時候咱們去訪問192.168.1.0/24這個網段就可以正常訪問了。

這裏昨天去調試的時候忘了截圖了，全部測試圖片就沒有了，不過我能夠給你們保證的是，這種方法已是成功了的。

總結：

經過這一次的調試，我從中得到了一些知識，咱們在解決問題的時候能夠把本身的思惟法發散一下，不要侷限在網絡設備上面。可是在上面的這個實例中，你們要注意的是咱們的軟路由，當咱們重啓一下計算機這條軟路由說不必定就不存在了，咱們必須本身手動在添加一下。