需求：
某公司以前沒有劃分VLAN，用的一臺Cisco 2918二層交換機(jī)，但是他們沒有做任何配置，現(xiàn)在由于他們的有一部分計算機(jī)（192.168.1.0/24）配置比較差，當(dāng)交換機(jī)發(fā)送一個廣播包的時候就導(dǎo)致部分計算機(jī)假死機(jī)狀態(tài)，于是他們買了一臺Cisco 3560三層交換機(jī)想把192.168.1.0/24這個網(wǎng)段與其他網(wǎng)段（10.1.1.0/24，10.1.2.0/24）的廣播包進(jìn)行分離開來。
以下是對VLAN劃分的一些要求：
1、  要實(shí)現(xiàn)在SW1上面192.168.1.0/24這個網(wǎng)段能夠正常訪問10.1.1.0/24與10.1.2.0/24這兩個網(wǎng)段。
2、  10.1.1.0/24與10.1.2.0/24這兩個網(wǎng)段要能夠正常訪問SW2以外的網(wǎng)絡(luò)。（也就是說10.1.1.0/24與10.1.2.0/24這兩個網(wǎng)段的默認(rèn)網(wǎng)關(guān)還得是10.1.1.1/24或者10.1.2.1/24才行。因?yàn)楹芏嘣敿?xì)路由在SW2上面才有。）
3、  不能讓SW1以外的計算機(jī)訪問SW1中192.168.1.0/24這個網(wǎng)段。
4、  SW2內(nèi)的計算機(jī)能夠訪問SW1的服務(wù)器以及10.1.1.0/24與10.1.2.0/24這兩個網(wǎng)段的計算機(jī)。
5、  SW1中只允許10.1.1.2/24與10.1.2.2/24這兩臺PC能夠訪問192.168.1.0/24的網(wǎng)段。
 
拓?fù)鋱D如下：

需求分析：
以前網(wǎng)絡(luò)的分析：
從總部出來給了一根光纖過來，而這根光纖接入到總部交換機(jī)的VLAN20中。VLAN20的SVI地址是10.1.1.1/24，10.1.2.1/24這兩個，在原使情況下10.1.1.0/24與10.1.2.0/24這兩個網(wǎng)段要訪問192.168.1.0/24的計算機(jī)，他們以前的解決方案是在192.168.1.0/24這個網(wǎng)段配置雙IP地址，也就是說再給他們配置一個10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24這兩個網(wǎng)段要訪問總部以外的網(wǎng)段網(wǎng)關(guān)必須指定10.1.1.1/24，10.1.2.1/24。

現(xiàn)在的需求分析：

從上面我們已經(jīng)知道他們最主要想利用VLAN來隔離我們的廣播域，但需要讓我們SW1上的192.168.1.0/24與SW1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問，還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問SW2以及SW2以外的網(wǎng)絡(luò)。

從上面的需要我們來分析一下，要隔離廣播域我們都知道使用交換機(jī)上面的VLAN，這個很好解決，但是劃了VLAN以后，要使不同VLAN間進(jìn)行互相訪問我們就必須給這個VLAN的SVI地址設(shè)置一個IP。當(dāng)我們PC上面將網(wǎng)關(guān)設(shè)置成為自己所在VLAN下面的SVI地址，這樣在開啟三層交換機(jī)的路由功能就能夠互相訪問了，但是在這里我們又遇見一個問題？那就是從SW2過來的光纖給了兩個IP地址給我們10.1.1.1/24，10.1.2.1/24。而在SW1上面的10網(wǎng)段中的計算機(jī)要訪問外面的網(wǎng)絡(luò)就必須將這兩個地址設(shè)置成網(wǎng)關(guān)才行。這很明顯它是一個二層的接口，也就是說在SW2上面劃分了一個VLAN，而這根光纖就接在該VLAN下面的，而該VLAN的SIV地址就是10.1.1.1/24，10.1.2.1/24。而我們現(xiàn)在只能利用SW1來進(jìn)行做配置，SW2在總部我們動不到。我們現(xiàn)在能動的也就只有SW1上面。

現(xiàn)在我想的辦法就是，在SW1上面劃分兩個VLAN，VLAN20用于接192.168.1.0/24這個網(wǎng)段，VLAN30用于接10.1.1.0/24與10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24，而在VLAN30我們給它的SVI地址設(shè)置兩個IP，10.1.1.254/25與10.1.2.254/24。這樣它們兩個VLAN間通過這個SVI地址就可以互相進(jìn)行通信了。

但是SW1中兩個VLAN可以進(jìn)行通信，現(xiàn)在又出現(xiàn)一個新的問題，我們以前10網(wǎng)段的PC，IP地址必須設(shè)置成10.1.1.1/25與10.1.2.1/24才能訪問SW2以及它以外的網(wǎng)絡(luò)，現(xiàn)在我們將它的網(wǎng)關(guān)設(shè)置成10.1.1.254/25與10.1.2.254/24以后，就不能訪問SW2以外絡(luò)，后面我想了一個辦法就是10網(wǎng)段的PC的網(wǎng)關(guān)還是設(shè)置它以前的（10.1.1.1/24，10.1.2.1/2），而在要訪問192.168.1.0/24這個網(wǎng)段的PC，在PC上的“命令提示符”下面加一條軟路由，
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254
         destination^      ^mask       ^gateway

這樣當(dāng)我們10網(wǎng)段的PC去往192.168.1.0這個網(wǎng)段的時候走10.1.1.254/24這個網(wǎng)關(guān)，而默認(rèn)走10.1.1.1/24出來，這樣就達(dá)到我們預(yù)期的目的了，但是沒有加軟件的計算機(jī)就不能夠訪問我們的192.168.1.0的網(wǎng)段了。

然后他們還要限制某幾臺10網(wǎng)段中的PC去訪問192.168.1.0/24的網(wǎng)絡(luò)，前面我們提到在PC上面添加軟路由就可以訪問我們的192.168.1.0/24的網(wǎng)絡(luò)，那有的人就會想我不讓他們訪問的就不加嘛，那某些人他就想要來訪問我們192.168.1.0/24的網(wǎng)絡(luò)的時候，自己添加一條不就能夠訪問了，于是我使用了ACL來對他們做一個限制。只允許固定10網(wǎng)段中的幾臺PC可以訪問192.168.1.0/24，其他10網(wǎng)段中的計算機(jī)即使添加了軟路由還是不能夠訪問，這樣就達(dá)到了我們的效果了。
 
以下是配置文檔：

上面所述都是如何劃分VLAN、使用ACL的整個完整思路，希望可以幫助大家更好的掌握三層交換機(jī)關(guān)于VLAN的劃分以及ACL的使用。

最新評論