 行业前沿 | 技术干货 | 报告解读 | 职业规划 晚上好,我的网工朋友。 在企业网络中,想要实现跨部门的VLAN互联互通,其实有很多方式。 你可以通过子接口实现,也可以通过VLAN-Interface实现。但在实际工作中,很多网工朋友,遇到这种情况,很容易会回不过神来,一下子卡壳宕机。  今天我们不聊理论,就整点实际的,看完就能用到你的实战工作之中。 在部门里,你是否遇到过三个部门之间不能相互访问的需求? 如果有,今天这篇文章,就很适合你的阅读。 今日文章阅读福利:《图解网络系列(全套书籍) 》  想要入门网络的粉丝朋友,这份图解系列全套都很适合你,配图丰富,理论和图片结合,很受小白追捧。 需要的朋友,可以扫码发送暗号“图解”,即可获取此份全套书籍电子资源。  前30名粉丝 免费获得资源 01 需求 某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。 内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。 三个部门的机器均使用动态IP上网,服务器使用静态IP上网。 ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。
1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。 2960作为二层交换机,划分VLAN。 03 网络拓扑图  04 交换机端口、VLAN划分 部门一 FE0/1-8: 绑定VLAN10 部门二 FE0/9-16:绑定VLAN20 部门三 FE0/17-24:绑定VLAN30 干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过 服务器 GE0/1: 绑定VLAN100 05 路由器端口、网段、IP划分 FE0/0:WAN接口、IP为1.1.1.1 FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址, FE0/1.1:绑定VLAN10,IP为192.168.1.1/24 FE0/1.2:绑定VLAN20,IP为192.168.2.1/24 FE0/1.3:绑定VLAN30,IP为192.168.3.1/24 FE0/1.4:绑定VLAN100,IP为192.168.100.1/24 以下为完整设置命令,有详细注释,设备均已恢复出厂设置。 06 交换机配置 进入特权模式Switch>enable 进入配置模式Switch#configure terminal 设置部门一VLAN10Switch(config)#interface range FastEthernet 0/1-8 %端口组FE0/1-8 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10 Switch(config-if-range)#exit 设置部门二VLAN20Switch(config)#interface range FastEthernet 0/9-16 %端口组FE0/9-16 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 20 %设置端口为access模式,绑定vlan20 Switch(config-if-range)#exit 设置部门三VLAN30Switch(config)#interface range FastEthernet 0/17-24 %端口组FE0/17-24 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 30 %设置端口为access模式,绑定vlan30 Switch(config-if-range)#exit 设置服务器VLAN100Switch(config)#interface range GigabitEthernet 0/2 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 100 %设置端口为access模式,绑定vlan100 Switch(config-if-range)#exit 设置汇聚口Switch(config)#interface GigabitEthernet 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10,20,30,100 %设置端口为trunk模式,允许 VLAN10 20 30 100通过 Switch(config-if)#exit 设置生成树快速转发Switch(config)#spanning-tree portfast default %珍惜宝贵的时间 退出&保存设置Switch(config)#exit Switch#write 07 路由器配置 进入特权模式Router>enable 进入配置模式 Router#configure terminal 设置部门一VLAN10 ACL规则1,仅禁止访问其他两个网段Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255 Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255 Router(config)#access-list 1 permit any 设置部门二VLAN20 ACL规则2,仅禁止访问其他两个网段Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255 Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255 Router(config)#access-list 2 permit any 设置部门三VLAN30 ACL规则3,仅禁止访问其他两个网段Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255 Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255 Router(config)#access-list 3 permit any 设置服务器VLAN100 ACL规则4,允许访问任何网络Router(config)#access-list 4 permit any 设置NAT ACL规则5,仅允许四个内网网段进行NATRouter(config)#access-list 5 permit 192.168.1.0 0.0.0.255 Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255 Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255 Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255 Router(config)#access-list 5 deny any 设置WAN接口Router(config)#interface FastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#ip address 1.1.1.1 255.255.255.0 Router(config-if)#ip nat outside %设置为NAT外部接口 Router(config-if)#exit 设置LAN接口Router(config)#interface FastEthernet 0/1 Router(config-if)#no shutdown %物理接口只需开启即可,不用设置IP地址 Router(config-if)#exit 设置部门一VLAN10子接口Router(config)#interface FastEthernet 0/1.1 Router(config-subif)#encapsulation dot1Q 10 %用802.1Q封装数据帧,以便兼容交换机 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#ip access-group 1 in %入口流量应用ACL规则1 Router(config-subif)#ip access-group 1 out %出口流量应用ACL规则1 Router(config-subif)#ip nat inside %设置为NAT内部接口 Router(config-subif)#exit 设置部门二VLAN20子接口Router(config)#interface FastEthernet 0/1.2 Router(config-subif)#encapsulation dot1Q 20 %用802.1Q封装数据帧,以便兼容交换机 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#ip access-group 2 in %入口流量应用ACL规则2 Router(config-subif)#ip access-group 2 out %出口流量应用ACL规则2 Router(config-subif)#ip nat inside Router(config-subif)#exit 设置部门三VLAN30子接口Router(config)#interface FastEthernet 0/1.3 Router(config-subif)#encapsulation dot1Q 30 %用802.1Q封装数据帧,以便兼容交换机 Router(config-subif)#ip address 192.168.3.1 255.255.255.0 Router(config-subif)#ip access-group 3 in %入口流量应用ACL规则3 Router(config-subif)#ip access-group 3 out %出口流量应用ACL规则3 Router(config-subif)#ip nat inside %设置为NAT内部接口 Router(config-subif)#exit 设置服务器VLAN100子接口Router(config)#interface FastEthernet 0/1.4 Router(config-subif)#encapsulation dot1Q 100 %用802.1Q封装数据帧,以便兼容交换机 Router(config-subif)#ip address 192.168.100.1 255.255.255.0 Router(config-subif)#ip access-group 4 in %入口流量应用ACL规则4 Router(config-subif)#ip access-group 4 out %出口流量应用ACL规则4 Router(config-subif)#ip nat inside %设置为NAT内部接口 Router(config-subif)#exit 设置DHCP排除地址(这里只设置路由器本身IP)Router(config)#ip dhcp excluded-address 192.168.1.1 Router(config)#ip dhcp excluded-address 192.168.2.1 Router(config)#ip dhcp excluded-address 192.168.3.1 设置VLAN10 DHCP服务器 Router(config)#ip dhcp pool vlan10 Router(dhcp-config)#default-router 192.168.1.1 Router(dhcp-config)#dns-server 192.168.100.254 Router(dhcp-config)#network 192.168.1.0 255.255.255.0 Router(dhcp-config)#exit 设置VLAN20 DHCP服务器Router(config)#ip dhcp pool vlan20 Router(dhcp-config)#default-router 192.168.2.1 Router(dhcp-config)#dns-server 192.168.100.254 Router(dhcp-config)#network 192.168.2.0 255.255.255.0 Router(dhcp-config)#exit 设置VLAN30 DHCP服务器Router(config)#ip dhcp pool vlan30 Router(dhcp-config)#default-router 192.168.3.1 Router(dhcp-config)#dns-server 192.168.100.254 Router(dhcp-config)#network 192.168.3.0 255.255.255.0 Router(dhcp-config)#exit 设置路由Router(config)#ip routing %开启路由转发 Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254 %设置默认网关 设置NATRouter(config)#ip nat inside source list 5 interface FastEthernet0/0 overload %允许四个网段进行NAT,出接口为WAN口,开启端口地址复用 Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80 %将内部服务器的80端口映射到公网IP上 Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上 退出&保存设置Router(config)#exit Router#write 文章声明 本文素材整理自网络,由网络工程师俱乐部排版成文,转载请注明出处,侵删。 策划制作 策划:山城 丨 监制:一为编辑:山城 丨 图源:网络 文章来源  网工界最有含金量的思科/华为认证,到底是啥? 拿下思科/华为认证之后,身为网工的你可以:  跨越90%企业的招聘硬门槛 增加70%就业机会 拿下BAT全国TOP100大厂敲门砖 体系化得到网络技术硬实力 IE大佬年薪可达30w+ 如何了解+系统学习? 识别下方二维码加老杨为好友 好友验证请备注“考证” 获得1v1专属咨询+报班千元满减券  前30名粉丝 免费获得老杨答疑机会  上一篇:一种异构的数据通信网络实验平台的搭建和实施 下一篇:哈市5000-8000元能找到什么工作! |
微信公众平台持续治理“假冒仿冒”行为16129 人气#新媒体课堂
公众号案例 | 鲲鹏产业源头创新中心微信公28354 人气#新媒体课堂
萌芽加速 adminCDN 上线,由文派开源提供的17974 人气#站长圈
搜狐音频挂机项目揭秘:月入八千+的红利期操28845 人气#站长资讯
/1 
AI智能体
