vlan间的路由和acl
 用单臂路由实现vlan间的互访。 这里我加入了三个VLAN ,让VLAN100和VLAN300不能互访。Vlan100可以访问vlan200 、vlan200可以访问vlan300
路由器的具体配置
//因为路由器只有一个以太网口,所以要配置子接口来连接不同的vlan
Interface e0/0.100
encapsulation dot1Q 100
Ip ad//dot1q 后面对应的数字是对应交换机的,这个在这里封装一下。
vlandress 192.168.1.1 255.255.255.0
Interface e0/0.200
encapsulation dot1Q 100
Ip address 192.168.2.1 255.255.255.0
Interface e0/0.300
encapsulation dot1Q 100
Ip address 192.168.3.1 255.255.255.0
ip access-list extended b100 我先建立了一个列表组
deny ip ang 192.168.3.2 0.0.0.255 拒绝任何访问192.168.3.0这个网段
deny ip 192.168.3.2 0.0.0.255 any 拒绝192.168.3.0这个网段的任何访问
permit ip any any 这个一定要加上去,上面是拒绝这个是允许访问所有了。
Interface e0/0.100
ip access-group b100 in 进入子接口,把刚刚建立的列表组加到这个端口就OK了。
交换机的配置:
Interface f0/24
switchport mode trunk 设置交换机0/24为trunk口
interface f0/1
switchport access vlan100
switchport mode access
spanning-tree portfast //把一个port设置了portfast,就是让那个port不再使用STP的算法。 这条命令一般在终端机是用,可以减少DHCP的获得地址时间过长问题。如果你连的是其他的交换机的话就会出现环路了。
interface f0/2
switchport access vlan200
switchport mode access
spanning-tree portfast
interface f0/3
switchport access vlan300
switchport mode access
spanning-tree portfast
到这里就OK了。 |
leezhua
博客统计信息
热门文章
最新评论
友情链接
