三层交换机关于VLAN的划分以及ACL的使用

 

今天下午去了一个公司，叫我过去的目的是帮他们划一下VLAN，原本想到应该仍是很简单的，可是没有想到想了一下午的办法才想出来。感兴趣的话来试试看你可以花多少时间把这个方案想出来。

需求：

他们之前没有划分VLAN，用的一台Cisco 2918二层交换机，可是他们没有作任何配置，如今因为他们的有一部分计算机（192.168.1.0/24）配置比较差，当交换机发送一个广播包的时候就致使部分计算机假死机状态，因而他们买了一台Cisco 3560三层交换机想把192.168.1.0/24这个网段与其余网段（ 10.1.1 .0/24，10.1.2.0/24）的广播包进行分离开来。

如下是对VLAN划分的一些要求：

一、  要实如今SW1上面192.168.1.0/24这个网段可以正常访问 10.1.1 .0/24与10.1.2.0/24这两个网段。

二、  10.1.1 .0/24与10.1.2.0/24这两个网段要可以正常访问SW2之外的网络。（也就是说10.1.1.0/24与10.1.2.0/24这两个网段的默认网关还得是10.1.1.1/24或者10.1.2.1/24才行。由于不少详细路由在SW2上面才有。）

三、  不能让SW1之外的计算机访问SW1中192.168.1.0/24这个网段。

四、  SW2内的计算机可以访问SW1的服务器以及 10.1.1 .0/24与10.1.2.0/24这两个网段的计算机。

五、  SW1中只容许 10.1.1 .2/24与10.1.2.2/24这两台PC可以访问192.168.1.0/24的网段。

 

拓扑图以下：

需求分析：

 之前网络的分析：

从总部出来给了一根光纤过来，而这根光纤接入到总部交换机的VLAN20中。VLAN20的SVI地址是 10.1.1 .1/24，10.1.2.1/24这两个，在原使状况下10.1.1.0/24与10.1.2.0/24这两个网段要访问192.168.1.0/24的计算机，他们之前的解决方案是在192.168.1.0/24这个网段配置双IP地址，也就是说再给他们配置一个10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24这两个网段要访问总部之外的网段网关必须指定10.1.1.1/24，10.1.2.1/24。

如今的需求分析：

从上面咱们已经知道他们最主要想利用VLAN来隔离咱们的广播域，但须要让咱们SW1上的192.168.1.0/24与SW1上的 10.1.1 .2/24与10.1.2.2/24可以正常访问，还不能影响SW1上面的10.1.1.0/24与10.1.2.0/24访问SW2以及SW2之外的网络。

从上面的须要咱们来分析一下，要隔离广播域咱们都知道使用交换机上面的VLAN，这个很好解决，可是划了VLAN之后，要使不一样VLAN间进行互相访问咱们就必须给这个VLAN的SVI地址设置一个IP。当咱们PC上面将网关设置成为本身所在VLAN下面的SVI地址，这样在开启三层交换机的路由功能就可以互相访问了，可是在这里咱们又碰见一个问题？那就是从SW2过来的光纤给了两个IP地址给咱们 10.1.1 .1/24，10.1.2.1/24。而在SW1上面的10网段中的计算机要访问外面的网络就必须将这两个地址设置成网关才行。这很明显它是一个二层的接口，也就是说在SW2上面划分了一个VLAN，而这根光纤就接在该VLAN下面的，而该VLAN的SIV地址就是10.1.1.1/24，10.1.2.1/24。而咱们如今只能利用SW1来进行作配置，SW2在总部咱们动不到。咱们如今能动的也就只有SW1上面。

如今我想的办法就是，在SW1上面划分两个VLAN，VLAN20用于接192.168.1.0/24这个网段，VLAN30用于接 10.1.1 .0/24与10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24，而在VLAN30咱们给它的SVI地址设置两个IP，10.1.1.254/25与10.1.2.254/24。这样它们两个VLAN间经过这个SVI地址就能够互相进行通讯了。

可是SW1中两个VLAN能够进行通讯，如今又出现一个新的问题，咱们之前10网段的PC，IP地址必须设置成 10.1.1 .1/25与10.1.2.1/24才能访问SW2以及它之外的网络，如今咱们将它的网关设置成10.1.1.254/25与10.1.2.254/24之后，就不能访问SW2之外络，后面我想了一个办法就是10网段的PC的网关仍是设置它之前的（10.1.1.1/24，10.1.2.1/2），而在要访问192.168.1.0/24这个网段的PC，在PC上的“命令提示符”下面加一条软路由，

> route add 192.168.1.0 mask 255.255.255.0 10.1.1 .254

         destination^      ^mask       ^gateway

这样当咱们10网段的PC去往192.168.1.0这个网段的时候走 10.1.1 .254/24这个网关，而默认走10.1.1.1/24出来，这样就达到咱们预期的目的了，可是没有加软件的计算机就不可以访问咱们的192.168.1.0的网段了。

而后他们还要限制某几台10网段中的PC去访问192.168.1.0/24的网络，前面咱们提到在PC上面添加软路由就能够访问咱们的192.168.1.0/24的网络，那有的人就会想我不让他们访问的就不加嘛，那某些人他就想要来访问咱们192.168.1.0/24的网络的时候，本身添加一条不就可以访问了，因而我使用了ACL来对他们作一个限制。只容许固定10网段中的几台PC能够访问192.168.1.0/24，其余10网段中的计算机即便添加了软路由仍是不可以访问，这样就达到了咱们的效果了。

如下是配置文档：

Switch#conf t Enter configuration commands, one per line.  End with CNTL/Z. Switch(config)#vlan 20   // 建立VLAN20 Switch(config-vlan)#exit Switch(config)#vlan 30   // 建立VLAN30 Switch(config-vlan)#exit Switch(config)#int range fa0/1 -14    // 进行fa0/1-14 这一段接口 Switch(config-if-range)#switchport mode access  // 将交换机端口设置成访问模式 Switch(config-if-range)#switchport access vlan 20  // 将该端口加入到vlan20 当中 Switch(config-if-range)#exit Switch(config)#int range fa0/15 -24    // 进行fa0/15-24 这一段接口 Switch(config-if-range)#switchport mode access    // 将交换机端口设置成访问模式 Switch(config-if-range)#switchport access vlan 30   // 将该端口加入到vlan30 当中 Switch(config-if-range)#exit Switch(config)#int vlan 20    // 进入VLAN20 的SVI 接口 Switch(config-if)#ip add 192.168.1.254 255.255.255.0 // 给访问接口配置一个IP 地址作为网关 Switch(config-if)#exit Switch(config)#int vlan 30   //// 进入VLAN20 的SVI 接口 Switch(config-if)#ip add 10.195.93.254 255.255.255.0// 给访问接口配置一个IP 地址作为网关 Switch(config-if)#ip add 10.195.91.254 255.255.255.0 sec// 给访问接口配置第二个IP 地址作为网关 Switch(config-if)#exit Switch(config)#ip routing  // 开启咱们的路由功能 Switch(config)# access-list 100 permit i p 10.1.1 .2 0.0.0 .0 192.168.1.0 255.255.255.0     // 容许10.1.1.2 访问192.168.1.0/24 Switch(config)# access-list 100 permit i p 10.1.2 .2 0.0.0 .0 192.168.1.0 255.255.255.0     // 容许10.1.2.2 访问192.168.1.0/24 Switch(config)# access-list 100 deny ip any any  // 其余的都拒绝 Switch(config)#int vlan 20   // 进入VLAN20 的SVI 接口 Switch(config-if)#ip access-group 100 in    // 调用咱们刚才创建的ACL100 方向使用进，由于咱们是对来来的数据进行检查。 Switch(config-if)#exit

以上就是我在交换机上面所作的配置。下面来看看PC上面如何设置呢？

在PC上面打开“命令提示符”，输入“route print”能够进行查看当前PC上面的路由表。

从上图咱们能够看见咱们没有去往192.168.1.0/24的网段，而默认路由走的是 10.1.1 .1/24去了，因此在这里咱们就必须本身手功添加一条路由。

注意在WIN7下面咱们必须以管理员的身份才能进行添加哦。从上图咱们能够看见已经添加成功了，咱们再来查看一下PC上面的路由表看看有没有去往192.168.1.0/24的网络，是否是走的 10.1.1 .254/24这个地址。

看看上面的路由表里面是否是有一条192.168.1.0/24走的 10.1.1 .254。而这时候咱们去访问192.168.1.0/24这个网段就可以正常访问了。

这里昨天去调试的时候忘了截图了，全部测试图片就没有了，不过我能够给你们保证的是，这种方法已是成功了的。

总结：

经过这一次的调试，我从中得到了一些知识，咱们在解决问题的时候能够把本身的思惟法发散一下，不要局限在网络设备上面。可是在上面的这个实例中，你们要注意的是咱们的软路由，当咱们重启一下计算机这条软路由说不必定就不存在了，咱们必须本身手动在添加一下。