VLAN的劃分以及ACL的使用教程 用到什么命令
像網橋那樣,交換機將局域網分為多個沖突域,每個沖突域都是有獨立的寬帶,因此大大提高了局域網的帶寬。對于VLAN劃分也是個很重要的步驟,這是一篇根據實際操作整理的一篇關于劃分VLAN的文章,很具有可操作性,也希望這篇文章可以幫助到大家。
需求分析
:以前網絡的分析:
從總部出來給了一根光纖過來,而這根光纖接入到總部交換機的VLAN20中。VLAN20的SVI地址是10.1.1.1/24,10.1.2.1/24這兩個,在原使情況下10.1.1.0/24與10.1.2.0/24這兩個網段要訪問192.168.1.0/24的計算機,他們以前的解決方案是在192.168.1.0/24這個網段配置雙IP地址,也就是說再給他們配置一個10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24這兩個網段要訪問總部以外的網段網關必須指定10.1.1.1/24,10.1.2.1/24。
現在的需求分析:
從上面我們已經知道他們最主要想利用VLAN來隔離我們的廣播域,但需要讓我們SW1上的192.168.1.0/24與SW1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問,還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問SW2以及SW2以外的網絡。
從上面的需要我們來分析一下,要隔離廣播域我們都知道使用交換機上面的VLAN,這個很好解決,但是劃了VLAN以后,要使不同VLAN間進行互相訪問我們就必須給這個VLAN的SVI地址設置一個IP。當我們PC上面將網關設置成為自己所在VLAN下面的SVI地址,這樣在開啟三層交換機的路由功能就能夠互相訪問了,但是在這里我們又遇見一個問題?那就是從SW2過來的光纖給了兩個IP地址給我們10.1.1.1/24,10.1.2.1/24。而在SW1上面的10網段中的計算機要訪問外面的網絡就必須將這兩個地址設置成網關才行。這很明顯它是一個二層的接口,也就是說在SW2上面劃分了一個VLAN,而這根光纖就接在該VLAN下面的,而該VLAN的SIV地址就是10.1.1.1/24,10.1.2.1/24。而我們現在只能利用SW1來進行做配置,SW2在總部我們動不到。我們現在能動的也就只有SW1上面。
現在我想的辦法就是,在SW1上面劃分兩個VLAN,VLAN20用于接192.168.1.0/24這個網段,VLAN30用于接10.1.1.0/24與10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24,而在VLAN30我們給它的SVI地址設置兩個IP,10.1.1.254/25與10.1.2.254/24。這樣它們兩個VLAN間通過這個SVI地址就可以互相進行通信了。
但是SW1中兩個VLAN可以進行通信,現在又出現一個新的問題,我們以前10網段的PC,IP地址必須設置成10.1.1.1/25與10.1.2.1/24才能訪問SW2以及它以外的網絡,現在我們將它的網關設置成10.1.1.254/25與10.1.2.254/24以后,就不能訪問SW2以外絡,后面我想了一個辦法就是10網段的PC的網關還是設置它以前的(10.1.1.1/24,10.1.2.1/2),而在要訪問192.168.1.0/24這個網段的PC,在PC上的“命令提示符”下面加一條軟路由,
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254
destination^ ^mask ^gateway
這樣當我們10網段的PC去往192.168.1.0這個網段的時候走10.1.1.254/24這個網關,而默認走10.1.1.1/24出來,這樣就達到我們預期的目的了,但是沒有加軟件的計算機就不能夠訪問我們的192.168.1.0的網段了。
然后他們還要限制某幾臺10網段中的PC去訪問192.168.1.0/24的網絡,前面我們提到在PC上面添加軟路由就可以訪問我們的192.168.1.0/24的網絡,那有的人就會想我不讓他們訪問的就不加嘛,那某些人他就想要來訪問我們192.168.1.0/24的網絡的時候,自己添加一條不就能夠訪問了,于是我使用了ACL來對他們做一個限制。只允許固定10網段中的幾臺PC可以訪問192.168.1.0/24,其他10網段中的計算機即使添加了軟路由還是不能夠訪問,這樣就達到了我們的效果了。
上面所述都是如何劃分VLAN、使用ACL的整個完整思路,希望可以幫助大家更好的掌握三層交換機關于VLAN的劃分以及ACL的使用。
相關閱讀:交換機工作原理過程
交換機工作于OSI參考模型的第二層,即數據鏈路層。交換機內部的CPU會在每個端口成功連接時,通過將MAC地址和端口對應,形成一張MAC表。在今后的通訊中,發往該MAC地址的數據包將僅送往其對應的端口,而不是所有的端口。因此,交換機可用于劃分數據鏈路層廣播,即沖突域;但它不能劃分網絡層廣播,即廣播域。
交換機擁有一條很高帶寬的背部總線和內部交換矩陣。交換機的所有的端口都掛接在這條背部總線上,控制電路收到數據包以后,處理端口會查找內存中的地址對照表以確定目的MAC(網卡的硬件地址)的NIC(網卡)掛接在哪個端口上,通過內部交換矩陣迅速將數據包傳送到目的端口,目的MAC若不存在,廣播到所有的端口,接收端口回應后交換機會“學習”新的MAC地址,并把它添加入內部MAC地址表中。使用交換機也可以把網絡“分段”,通過對照IP地址表,交換機只允許必要的網絡流量通過交換機。通過交換機的過濾和轉發,可以有效的減少沖突域,但它不能劃分網絡層廣播,即廣播域。
VLAN的劃分以及ACL的使用教程 用到什么命令相關文章: