VLAN的劃分以及ACL的使用教程 用到什么命令
像網(wǎng)橋那樣,交換機(jī)將局域網(wǎng)分為多個(gè)沖突域,每個(gè)沖突域都是有獨(dú)立的寬帶,因此大大提高了局域網(wǎng)的帶寬。對(duì)于VLAN劃分也是個(gè)很重要的步驟,這是一篇根據(jù)實(shí)際操作整理的一篇關(guān)于劃分VLAN的文章,很具有可操作性,也希望這篇文章可以幫助到大家。
需求分析
:以前網(wǎng)絡(luò)的分析:
從總部出來給了一根光纖過來,而這根光纖接入到總部交換機(jī)的VLAN20中。VLAN20的SVI地址是10.1.1.1/24,10.1.2.1/24這兩個(gè),在原使情況下10.1.1.0/24與10.1.2.0/24這兩個(gè)網(wǎng)段要訪問192.168.1.0/24的計(jì)算機(jī),他們以前的解決方案是在192.168.1.0/24這個(gè)網(wǎng)段配置雙IP地址,也就是說再給他們配置一個(gè)10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24這兩個(gè)網(wǎng)段要訪問總部以外的網(wǎng)段網(wǎng)關(guān)必須指定10.1.1.1/24,10.1.2.1/24。
現(xiàn)在的需求分析:
從上面我們已經(jīng)知道他們最主要想利用VLAN來隔離我們的廣播域,但需要讓我們SW1上的192.168.1.0/24與SW1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問,還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問SW2以及SW2以外的網(wǎng)絡(luò)。
從上面的需要我們來分析一下,要隔離廣播域我們都知道使用交換機(jī)上面的VLAN,這個(gè)很好解決,但是劃了VLAN以后,要使不同VLAN間進(jìn)行互相訪問我們就必須給這個(gè)VLAN的SVI地址設(shè)置一個(gè)IP。當(dāng)我們PC上面將網(wǎng)關(guān)設(shè)置成為自己所在VLAN下面的SVI地址,這樣在開啟三層交換機(jī)的路由功能就能夠互相訪問了,但是在這里我們又遇見一個(gè)問題?那就是從SW2過來的光纖給了兩個(gè)IP地址給我們10.1.1.1/24,10.1.2.1/24。而在SW1上面的10網(wǎng)段中的計(jì)算機(jī)要訪問外面的網(wǎng)絡(luò)就必須將這兩個(gè)地址設(shè)置成網(wǎng)關(guān)才行。這很明顯它是一個(gè)二層的接口,也就是說在SW2上面劃分了一個(gè)VLAN,而這根光纖就接在該VLAN下面的,而該VLAN的SIV地址就是10.1.1.1/24,10.1.2.1/24。而我們現(xiàn)在只能利用SW1來進(jìn)行做配置,SW2在總部我們動(dòng)不到。我們現(xiàn)在能動(dòng)的也就只有SW1上面。
現(xiàn)在我想的辦法就是,在SW1上面劃分兩個(gè)VLAN,VLAN20用于接192.168.1.0/24這個(gè)網(wǎng)段,VLAN30用于接10.1.1.0/24與10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24,而在VLAN30我們給它的SVI地址設(shè)置兩個(gè)IP,10.1.1.254/25與10.1.2.254/24。這樣它們兩個(gè)VLAN間通過這個(gè)SVI地址就可以互相進(jìn)行通信了。
但是SW1中兩個(gè)VLAN可以進(jìn)行通信,現(xiàn)在又出現(xiàn)一個(gè)新的問題,我們以前10網(wǎng)段的PC,IP地址必須設(shè)置成10.1.1.1/25與10.1.2.1/24才能訪問SW2以及它以外的網(wǎng)絡(luò),現(xiàn)在我們將它的網(wǎng)關(guān)設(shè)置成10.1.1.254/25與10.1.2.254/24以后,就不能訪問SW2以外絡(luò),后面我想了一個(gè)辦法就是10網(wǎng)段的PC的網(wǎng)關(guān)還是設(shè)置它以前的(10.1.1.1/24,10.1.2.1/2),而在要訪問192.168.1.0/24這個(gè)網(wǎng)段的PC,在PC上的“命令提示符”下面加一條軟路由,
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254
destination^ ^mask ^gateway
這樣當(dāng)我們10網(wǎng)段的PC去往192.168.1.0這個(gè)網(wǎng)段的時(shí)候走10.1.1.254/24這個(gè)網(wǎng)關(guān),而默認(rèn)走10.1.1.1/24出來,這樣就達(dá)到我們預(yù)期的目的了,但是沒有加軟件的計(jì)算機(jī)就不能夠訪問我們的192.168.1.0的網(wǎng)段了。
然后他們還要限制某幾臺(tái)10網(wǎng)段中的PC去訪問192.168.1.0/24的網(wǎng)絡(luò),前面我們提到在PC上面添加軟路由就可以訪問我們的192.168.1.0/24的網(wǎng)絡(luò),那有的人就會(huì)想我不讓他們訪問的就不加嘛,那某些人他就想要來訪問我們192.168.1.0/24的網(wǎng)絡(luò)的時(shí)候,自己添加一條不就能夠訪問了,于是我使用了ACL來對(duì)他們做一個(gè)限制。只允許固定10網(wǎng)段中的幾臺(tái)PC可以訪問192.168.1.0/24,其他10網(wǎng)段中的計(jì)算機(jī)即使添加了軟路由還是不能夠訪問,這樣就達(dá)到了我們的效果了。
上面所述都是如何劃分VLAN、使用ACL的整個(gè)完整思路,希望可以幫助大家更好的掌握三層交換機(jī)關(guān)于VLAN的劃分以及ACL的使用。
相關(guān)閱讀:交換機(jī)工作原理過程
交換機(jī)工作于OSI參考模型的第二層,即數(shù)據(jù)鏈路層。交換機(jī)內(nèi)部的CPU會(huì)在每個(gè)端口成功連接時(shí),通過將MAC地址和端口對(duì)應(yīng),形成一張MAC表。在今后的通訊中,發(fā)往該MAC地址的數(shù)據(jù)包將僅送往其對(duì)應(yīng)的端口,而不是所有的端口。因此,交換機(jī)可用于劃分?jǐn)?shù)據(jù)鏈路層廣播,即沖突域;但它不能劃分網(wǎng)絡(luò)層廣播,即廣播域。
交換機(jī)擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機(jī)的所有的端口都掛接在這條背部總線上,控制電路收到數(shù)據(jù)包以后,處理端口會(huì)查找內(nèi)存中的地址對(duì)照表以確定目的MAC(網(wǎng)卡的硬件地址)的NIC(網(wǎng)卡)掛接在哪個(gè)端口上,通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口,目的MAC若不存在,廣播到所有的端口,接收端口回應(yīng)后交換機(jī)會(huì)“學(xué)習(xí)”新的MAC地址,并把它添加入內(nèi)部MAC地址表中。使用交換機(jī)也可以把網(wǎng)絡(luò)“分段”,通過對(duì)照IP地址表,交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過交換機(jī)。通過交換機(jī)的過濾和轉(zhuǎn)發(fā),可以有效的減少?zèng)_突域,但它不能劃分網(wǎng)絡(luò)層廣播,即廣播域。
VLAN的劃分以及ACL的使用教程 用到什么命令相關(guān)文章: