华为路由器与三层交换机设备互联的问题 华为三层交换机和思科路由器相连的问题
\u8bf7\u95ee\u9ad8\u624b\u534e\u4e3a\u8def\u7531\u5668\u4e92\u8054\u4ea4\u6362\u673a\u7684\u95ee\u9898\uff0c\u8c22\u8c22\u8def\u7531\u5668 10.1.1.1
|
|
10.1.1.2
\u4ea4\u6362\u673a 192.168.X.X
\u8def\u7531\u5668\u548c\u4ea4\u6362\u673a\u7684\u4e92\u8054\u53e3\u914d\u7f6e\u540c\u4e00\u7f51\u6bb5\u7684ip\u5730\u5740
\u5728\u4ea4\u6362\u673a\u4e0a\u5efa\u7acb3\u4e2ainterface vlan\u7aef\u53e3\uff0c\u5206\u522b\u914d\u7f6e\u7f51\u5173
\u4ea4\u6362\u673a\u914d\u7f6e\u9759\u6001\u8def\u7531ip route 0.0.0.0 0.0.0.0 10.1.1.1
\u8def\u7531\u5668\u4e0a\u914d\u7f6e\u4e24\u6761\u9759\u6001\u8def\u7531 ip route 0.0.0.0 0.0.0.0 X.X.X.X(\u516c\u7f51\u5730\u5740\u7f51\u5173)\uff0c
ip route 192.168.0.0 255.255.0.0 10.1.1.2
\u5e76\u5728\u8def\u7531\u5668\u4e0a\u505aNAT\u914d\u7f6e\u5c31\u53ef\u4ee5\u4e86
\u8fd9\u4e2a\u770b\u4f60\u60f3\u628a\u6d41\u91cf\u5982\u4f55\u8d70\uff0c\u5982\u679c\u5ba2\u6237\u7aef\u7684gateway\u8bbe\u7f6e\u5728\u534e\u4e3a3\u5c42\u4ea4\u6362\u673a\u4e0a\uff0c\u4f8b\u5982\uff1a
router1\uff08DHCP server ) ---------- 3 layer connection -------- 3 layer switch -------- PC1
\u50cf\u8fd9\u79cd\u60c5\u51b5PC1\u7684\u7f51\u5173\u662f\u8bbe\u7f6e\u5728\u4ea4\u6362\u673a\u4e0a\u7684\uff0c\u5219\u5728switch\u7684vlan\u4e0a\u9700\u8981\u914d\u7f6e\u4e2d\u7ee7
inter vlan 10
ip add 192.168.10.1 255.255.255.0
dhcp-server 1 ip address 192.168.2.2
\u53e6\u4e00\u79cd\u60c5\u51b5\u662f\u8def\u7531\u5668\u548c\u4ea4\u6362\u673a\u4e4b\u95f4\u662ftrunk\u8fde\u63a5\uff1a
router1\uff08DHCP server ) ---------- trunk -------- 2 layer switch -------- PC1
\u5728\u8fd9\u79cd\u62d3\u6251\u4e2d\u4ea4\u6362\u673a\u4e0d\u9700\u8981\u4f7f\u7528\u5230\u8def\u7531\u529f\u80fd\uff0c\u4e5f\u4e0d\u9700\u8981\u4f7f\u7528dhcp\u7684\u4e2d\u7ee7\uff0cPC1\u7684\u7f51\u5173\u4e3arouter1 \u7684\u5b50\u7f51\u5730\u5740\u3002
\u5047\u8bbe\u6709vlan 10 : ip address 192.168.1.1
vlan 20 : ip address 192.168.2.1
\u5219\u601d\u79d1router \u4e0a\u7684\u914d\u7f6e\u4e3a\uff1a
interface f0/1
no shutdown
interface f0/1.10
en dot1q 10
ip address 192.168.1.1 255.255.255.0
interface f0/1.10
en dot1q 10
ip address 192.168.2.1 255.255.255.0
\u534e\u4e3a\u4ea4\u6362\u673a\u7684\u914d\u7f6e\uff1a
1.\u521b\u5efavlan
vlan 10
vlan 20
2.\u6307\u5b9af0/2\u4e3atrunk\u53e3
port f0/2
port link-type trunk
port trunk permit vlan all
在三层交换机上设置路由 ip rou 0.0.0.0 0.0.0.0 192.168.1.1
而在路由上设置回指路由 ip rou 192.168.2.0 255.255.255.0 192.168.1.2
ip rou 192.168.3.0 255.255.255.0 192.168.1.2
而vlan4和5没有做回来的数据路,本身跟路由器的外网口就是不通的,所以就上不了网了。
上网是需要做nat的。定义一个acl num 2000
rule per source 192.168.0.0 0.0.255.255
然后在外网口nat out 2000 就可以上网了。
在有一种方法就是:
在路由器上 ip rou 192.168.0.0 255.255.0.0 192.168.1.2 这时网络上全通的,但是上网的规则是用nat来定义的。
acl num 2000
rule 1 per sou 192.168.1.0 0.0.0.255
rule 2 per sou 192.168.2.0 0.0.0.255
rule 3 per sou 192.168.3.0 0.0.0.255
不定义rule上网规则相应的vlan就上不去网。
而vlan之间的互访问题是在交换上做的,你起了三层接口默认所有vlan就是全通的了。
而不让互访的话,也是需要在acl的。而这个acl是高级的 也就是3000以上的,可以定义源地址和目的地址。
只要定义不让互访的vlan规则就可以了。
如下:原来做的。
#
acl number 3010
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 2 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule 3 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
rule 4 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.60.0 0.0.0.255
#
interface Ethernet1/0/1
port access vlan 10
packet-filter inbound ip-group 3010 rule 0
packet-filter inbound ip-group 3010 rule 1
packet-filter inbound ip-group 3010 rule 2
packet-filter inbound ip-group 3010 rule 3
packet-filter inbound ip-group 3010 rule 4
#
而acl的下发也是有说道的,有的交换机不支持在vlan接口下下发,只支持在端口下下发。
具体可以查看对应交换机的操作手册,而你的模拟器有些命令是用不了的,模拟器的命令是v3的。现在一般都是v5版本的了。
这是目前中小企业中最典型的网络配置结构。
1、在交换机上配置一条默认路由,到路由器;再在路由器上配置几条回程路由,包括2,3,4,5网段的,也可以采用路由汇聚,写一条16位掩码的。1网段就不要用,专作互联网段。
2、给要上网的几个段,在路由器上作nat,像vlan4这种不让其上网,不给其作nat就可以了。
3, 现在交换机上作访问列表,写上允许访问的规则和不允许访问的规定,再应用到各个端口就行了。
是不是很简单?
绛旓細1. 鍚姩鐢佃剳鍚庯紝浣跨敤console绾垮皢璁$畻鏈涓庝笁灞備氦鎹㈡満杩炴帴銆2. 杩炴帴鍚庯紝閰嶇疆浜ゆ崲鏈轰笂鐨刅LAN锛屽苟涓哄叾鍒嗛厤鐩稿簲鐨勭綉鍏炽傛帴鐫锛屼负VLAN鎸囧畾鐩稿叧绔彛銆3. 閰嶇疆瀹屾垚鍚庯紝璁剧疆璺敱鍗忚銆4. 瀹屾垚璺敱鍗忚鐨勮缃悗锛屼笁灞備氦鎹㈡満鍗冲彲姝e父閫氫俊锛屽鍥炬墍绀恒
绛旓細1銆侀鍏堟墦寮鐢佃剳锛岀劧鍚庡皢涓夊眰浜ゆ崲鏈涓嶱C绔敤console绾胯繛鎺ヨ捣鏉ワ紝鎺ョ潃鍒掑垎VLAN锛屽苟鎻忚堪锛屽涓嬪浘鎵绀恒2銆佽繖涓椂鍊欏氨鍙互缁橵LAN鍒掔綉鍏筹紝鎺ョ潃缁橵LAN鎸囧畾绔彛锛屽涓嬪浘鎵绀恒3銆佺劧鍚庨厤缃璺敱鍗忚锛屽涓嬪浘鎵绀恒4銆佹渶鍚庤缃ソ閰嶇疆璺敱鍗忚浠ュ悗锛岃繖鏍峰氨璁剧疆濂戒簡涓夊眰浜ゆ崲鏈猴紝鍙互姝e父浣跨敤浜嗭紝濡備笅鍥炬墍绀哄氨瀹屾垚浜嗐
绛旓細鎬庝箞閰嶇疆鎵嶈兘浣縑LAN1銆2銆3閫氳繃璺敱鍣杩瀒nternet 鍦涓夊眰浜ゆ崲鏈涓婅缃矾鐢 ip rou 0.0.0.0 0.0.0.0 192.168.1.1 鑰屽湪璺敱涓婅缃洖鎸囪矾鐢 ip rou 192.168.2.0 255.255.255.0 192.168.1.2 ip rou 192.168.3.0 255.255.255.0 192.168.1.2 鑰寁lan4鍜5娌℃湁鍋氬洖鏉ョ殑鏁版嵁璺紝鏈...
绛旓細1锛氶鍏堝湪涓夊眰浜ゆ崲涓婂垝鍑轰袱涓猇LAN锛屽苟杩涘叆VLAN涓哄叾閰嶇疆IP锛屾IP灏嗕綔涓轰笌浠栫浉杩濸C鐨勭綉鍏炽2锛氬皢涓庝簩灞浜ゆ崲鏈鐩歌繛鐨勭嚎鍚屾牱璁剧疆涓簍runk鎺ョ嚎锛屽苟灏嗕笁灞備氦鎹笌璺敱鍣杩炴帴鐨勭嚎璁剧疆涓鸿矾鐢辨帴鍙o紙noswitchsport锛3锛氬皢璺敱鍣ㄩ厤缃苟鎺ュ叆鍏綉锛屽疄楠屾渶缁堢粨鏋滐細鎷撴墤鍥句笅鍚勪釜PC鍧囪兘鐩镐簰閫氫俊锛屾瘡涓猵c鍙互璁块棶鍏綉銆備笁灞...
绛旓細1銆佷笉鍚 vlan 涓嬬殑瀹㈡埛绔兘澶熻闂缃戙2.2.2.1銆2銆佷簡瑙璺敱鍣ㄥ拰涓夊眰浜ゆ崲鏈涔嬮棿鐨勮繛鎺ュ強閰嶇疆 3銆佷簡瑙d笁灞備氦鎹㈡満鍜屾帴鍏ヤ氦鎹㈡満涔嬮棿鐨勮繛鎺ュ強閰嶇疆 瀹為獙鎷撴墤鍥撅細瀹為獙璁惧鍙婄増鏈細鏈疄楠屾墍鐢ㄥ埌鐨勮澶囦负锛1銆佷氦鎹㈡満锛鍗庝负 Quidway S5700-28C-HI VRP (R) software, Version 5.110 2銆佽矾鐢卞櫒锛氬崕涓 AR...
绛旓細浣犲ソ锛屾渶绠鍗曠殑鍔炴硶锛屽彲浠ュ湪涓夊眰璁惧涓婂啀寮涓涓猇lan锛屾瘮濡傝VLAN2 鐒跺悗鎶夾DSL璺敱鍣鐨勪竴涓狶AN鍙h繛鍒浜ゆ崲鏈涓婁竴涓睘浜嶸lan2鐨勫彛涓婏紝缁橵lan2閰嶇疆涓湴鍧 192.168.9.2 255.255.255.0 锛屼娇Vlan2 涓庤矾鐢卞櫒鍙互鑱旈氥傜劧鍚庡姞涓鏉¢潤鎬佽矾鐢憋細 0.0.0.0 0.0.0.0 192.168.9.1 杩欐牱鎵鏈192.168.0...
绛旓細2.灏嗘棤绾璺敱鍣杩炴帴鐢佃剳銆傜敤涓鏉$綉绾夸竴绔帴鍏ユ棤绾胯矾鍣↙AN鎺ュ彛锛屽彟涓绔彃鍏ョ數鑴戙3.鍏夌尗鐨勯粯璁ゅ湴鍧涓192.168.1.1锛屾墍浠ユ棤绾胯矾鐢卞櫒鐨凩AN鍙i渶瑕侀厤鍏朵粬缃戞鐨勫湴鍧锛4.閰嶇疆鏂规硶锛氱櫥闄嗗埌鏃犵嚎璺敱鍣紝IP璁剧疆涓192.168.2.1 (涔嬪悗璁块棶鏃犵嚎璺敱鍣ㄦ槸http://192.168.2.1)锛5.瀛愮綉鎺╃爜锛255.255.255.0...
绛旓細鎶妉sw1鍒掑垎鍒颁竴涓崟鐙殑vlan 鐒跺悗缁欒繖涓獀lan閰嶇疆IP鍦板潃 涔熷氨鏄2.2.2.2 鐒跺悗ar1ge0/0 閰嶇疆IP鍦板潃2.2.2.1灏辫兘閫氫簡
绛旓細鍗庝负鐨勪笁灞備氦鎹㈡満榛樿鏄紑鍚璺敱鍔熻兘銆鍗庝负涓夊眰浜ゆ崲鏈鐨処P搴旇鏄厤缃湪VLAN绔彛涓嬭屼笉鏄厤缃湪鐗╃悊绔彛涓嬬殑锛屼竴涓墿鐞嗙鍙e彲浠ュ姞鍏ヤ竴涓垨澶氫釜vlan涓傜郴缁熻鍥句笅杈撳叆锛歷lan x 杩涘叆vlan瑙嗗浘杈撳叆锛歱ort X vlan瑙嗗浘 閰嶇疆IP鍦板潃 锛歩p address X
绛旓細鏂规2銆佸彲浠ユ妸杩欎袱涓氦鎹㈡満鐪嬫垚鏄袱涓璺敱鍣锛屾瘡涓矾鐢卞櫒鐜板湪杩炴帴浜嗕袱涓綉娈碉紝閭d箞涓や釜璺敱鍣ㄤ箣闂翠篃闇瑕佷竴涓綉娈典簰鑱旓紝骞朵笖闇瑕佸湪涓や釜璺敱鍣ㄤ箣闂撮厤缃潤鎬佽矾鐢辨垨鍔ㄦ佽矾鐢卞崗璁傚湪涓や釜浜ゆ崲鏈轰笂閮藉垱寤轰竴涓獀lan100锛屽皢浜ゆ崲鏈轰簰鑱鐨勭鍙i厤缃负access锛屽姞鍏ュ埌vlan100锛岀劧鍚庝袱鍙颁氦鎹㈡満涓婇兘缁檝lan100鎺ュ彛閰嶇疆IP锛...
