王力宏白小姐:CISCO 交换机如何限制VLAN互通

来源：百度文库编辑：中财网时间：2024/04/29 07:00:38

在同一个三层交换机（或路由器）上建立几个VLAN，默认情况下，这些VLAN是互通的。
如果不想让它通，必须要做ACL进行限制。
1、在旧版的思科交换机上，必须要先运行ip routing，开启路由功能，然后在这个交换机上所有的VLAN间是可能互访的，这种路由叫直连路由！！
2、在新版的思科交换机上，默认就是开启路由功能的，只要正确配置了interface vlan 的IP（即SVI）地址就可以。
3、在华为等一些厂家的设备也是默认开启的。
4、如果想让他们不能互相访问，反而需要做ACL限制互访，和开放特定的访问。。

Switch>en
Switch#conf t
Switch(config)#hostname 3560
3560(config)#vlan 171
3560(config-vlan)#name boss
3560(config)#vlan 172
3560(config-vlan)#name caiwu
3560(config-vlan)#exit
3560(config)#vlan 176
3560(config-vlan)#name 13F
3560(config-vlan)#exit
3560(config)#vlan 177
3560(config-vlan)#name fushi
3560(config-vlan)#exit
3560(config)#vlan 716
3560(config-vlan)#name wangshang
3560(config-vlan)#exit
3560(config)#interface range f0/1 -4
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 171
3560(config-if-range)#exit
3560(config)#interface ra f0/5 -8
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 172
3560(config)#interface range f0/9 -12
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 176
3560(config-if-range)#exit
3560(config)#interface range f0/13 -16
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 177
3560(config-if-range)#ex
3560(config)#interface range f0/17 -20
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 716
3560(config-if-range)#exit
3560(config)#interface vlan 1
3560(config-if)#ip add 192.168.8.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 171
3560(config-if)#ip add 172.1.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 172
3560(config-if)#ip add 172.2.1.1 255.255.255.0
3560(config-if)#no sh
3560(config)#interface vlan 176
3560(config-if)#ip add 172.6.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 177
3560(config-if)#ip add 172.7.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 716
3560(config-if)#ip add 172.16.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit

3560(config)#ip dhcp excluded-address 172.1.1.1 172.1.1.10
3560(config)#ip dhcp excluded-address 172.2.1.1 172.2.1.10
3560(config)#ip dhcp excluded-address 172.6.1.1 172.6.1.10
3560(config)#ip dhcp excluded-address 172.7.1.1 172.7.1.10
3560(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.10
3560(config)#ip dhcp pool vlan171
3560(dhcp-config)# network 172.1.1.0 255.255.255.0
3560(dhcp-config)# default-router 172.1.1.1
3560(dhcp-config)# dns-server 202.96.209.133
3560(dhcp-config)#exi
3560(config)#ip dhcp pool vlan172
3560(dhcp-config)# network 172.2.1.0 255.255.255.0
3560(dhcp-config)# default-router 172.2.1.1
3560(dhcp-config)# dns-server 202.96.209.133
3560(config)#exi
3560(config)#ip dhcp pool vlan176
3560(dhcp-config)# network 172.6.1.0 255.255.255.0
3560(dhcp-config)# default-router 172.6.1.1
3560(dhcp-config)# dns-server 202.96.209.133
3560(dhcp-config)#ex
3560(config)#ip dhcp pool vlan177
3560(dhcp-config)#network 172.7.1.0 255.255.255.0
3560(dhcp-config)#default-router 172.7.1.1
3560(dhcp-config)#dns-server 202.96.209.133
3560(dhcp-config)#exit
3560(config)#ip dhcp pool vlan716
3560(dhcp-config)#network 172.16.1.0 255.255.255.0
3560(dhcp-config)#default-router 172.16.1.1
3560(dhcp-config)#dns-server 202.96.209.133
3560(dhcp-config)#exit
3560(config)#ip dhcp pool vlan192
3560(dhcp-config)#network 192.168.8.0 255.255.255.0
3560(dhcp-config)#default-router 192.168.8.1
3560(dhcp-config)#dns-server 202.96.209.133

[color=red]3560(config)#access-list 171 deny ip 172.2.1.0 0.0.0.255 any
3560(config)#access-list 171 deny ip 172.6.1.0 0.0.0.255 any
3560(config)#access-list 171 deny ip 172.7.1.0 0.0.0.255 any
3560(config)#access-list 171 deny ip 172.16.1.0 0.0.0.255 any
3560(config)#access-list 171 permit ip any any
3560(config)#access-list 172 deny ip 172.1.1.0 0.0.0.255 any
3560(config)#access-list 172 deny ip 172.6.1.0 0.0.0.255 any
3560(config)#access-list 172 deny ip 172.7.1.0 0.0.0.255 any
3560(config)#access-list 172 deny ip 172.16.1.0 0.0.0.255 any
3560(config)#access-list 172 permit ip any any
3560(config)#access-list 176 deny ip 172.1.1.0 0.0.0.255 any
3560(config)#access-list 176 deny ip 172.2.1.0 0.0.0.255 any
3560(config)#access-list 176 deny ip 172.7.1.0 0.0.0.255 any
3560(config)#access-list 176 deny ip 172.16.1.0 0.0.0.255 any
3560(config)#access-list 176 permit ip any any
3560(config)#access-list 177 deny ip 172.1.1.0 0.0.0.255 any
3560(config)#access-list 177 deny ip 172.2.1.0 0.0.0.255 any
3560(config)#access-list 177 deny ip 172.6.1.0 0.0.0.255 any
3560(config)#access-list 177 deny ip 172.16.1.0 0.0.0.255 any
3560(config)#access-list 177 permit ip any any
3560(config)#access-list 116 deny ip 172.1.1.0 0.0.0.255 any
3560(config)#access-list 116 deny ip 172.2.1.0 0.0.0.255 any
3560(config)#access-list 116 deny ip 172.6.1.0 0.0.0.255 any
3560(config)#access-list 116 deny ip 172.7.1.0 0.0.0.255 any
3560(config)#access-list 116 permit ip any any

3560(config)#access-list 192 deny ip 172.2.1.0 0.0.0.255 host 192.168.8.10
3560(config)#access-list 192 deny ip 172.6.1.0 0.0.0.255 host 192.168.8.10
3560(config)#access-list 192 deny ip 172.7.1.0 0.0.0.255 host 192.168.8.10
3560(config)#access-list 192 deny ip 172.16.1.0 0.0.0.255 host 192.168.8.10
3560(config)#access-list 192 deny ip 172.2.1.0 0.0.0.255 host 192.168.8.6
3560(config)#access-list 192 deny icmp any host 192.168.8.5
3560(config)#access-list 192 permit ip any any
[/color]

[color=red]3560(config)#interface vlan 1
3560(config-if)#ip access-group 192 out
3560(config-if)#exit
3560(config)#interface vlan 171
3560(config-if)#ip access-group 171 out
3560(config-if)#exit
3560(config)#interface vlan 172
3560(config-if)#ip access-group 172 out
3560(config-if)#exit
3560(config)#interface vlan 176
3560(config-if)#ip access-group 176 out
3560(config)#interface vlan 177
3560(config-if)#ip access-group 177 out
3560(config-if)#exit
3560(config)#interface vlan 116
3560(config-if)#ip access-group 116 out
3560(config-if)#exit
[/color]3560(config)#ip route 0.0.0.0 0.0.0.0 192.168.8.100

再给你一个案例。。

access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 102 per ip any any
access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 103 per ip any any
access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 104 per ip any any
access-list 105 deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 105 deny ip 192.168.4.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 105 per ip any any
分别将acl102、103、104、105应用到vlan2、3、4、5的in方向案例3：
以下配置是在一个思科的交换机上的配置

Switch>en
Switch#conf t
Switch(config)#hostname 3560
3560(config)#ip routing
3560(config)#vlan 171
3560(config-vlan)#name boss
3560(config)#vlan 172
3560(config-vlan)#name caiwu
3560(config-vlan)#exit
3560(config)#vlan 176
3560(config-vlan)#name 13F
3560(config-vlan)#exit
3560(config)#vlan 177
3560(config-vlan)#name fushi
3560(config-vlan)#exit
3560(config)#vlan 716
3560(config-vlan)#name wangshang
3560(config-vlan)#exit
3560(config)#interface range f0/1 -4
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 171
3560(config-if-range)#exit
3560(config)#interface ra f0/5 -8
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 172
3560(config)#interface range f0/9 -12
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 176
3560(config-if-range)#exit
3560(config)#interface range f0/13 -16
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 177
3560(config-if-range)#ex
3560(config)#interface range f0/17 -20
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan 716
3560(config-if-range)#exit
3560(config)#interface vlan 1
3560(config-if)#ip add 192.168.8.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 171
3560(config-if)#ip add 172.1.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 172
3560(config-if)#ip add 172.2.1.1 255.255.255.0
3560(config-if)#no sh
3560(config)#interface vlan 176
3560(config-if)#ip add 172.6.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 177
3560(config-if)#ip add 172.7.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit
3560(config)#interface vlan 716
3560(config-if)#ip add 172.16.1.1 255.255.255.0
3560(config-if)#no sh
3560(config-if)#exit

这些VLAN他们现在是互通的，你在交换机上show ip route 你就可以看到好多条路由表，类型是直连。
然后把端口划到不到的VLAN里，并配置网关（这个网管地址就是它的interface vlan的IP.
比如：
vlan 716 它的主机地址范围是：172.16.1.2--172.16.1.254
掩码：255.255.255.0
网关172.16.1.1
其他VLAN方法一样，
你这时可以测试一下，你能不能ping通其他VLAN里的主机？
必然是通的。

你想让他们不通都不行。必须要用ACL。。

如何配置交换机vlan 关于Cisco交换机划分VLAN 的操作问题 cisco 2950如何划分公共vlan 如何选择交换机，什么是交换机VLAN功能？如何不通过三层高备实现VLAN间互通？思科2950的交换机如何配置VLAN 思科3550交换机如何设定VLAN？？ Cisco 各种类型的交换机最多可以划分多少个Vlan CISCO 1900系列和2900系列交换机 VLAN的配置方法不同vlan的互通问题！哪位大虾可以告诉我如何设置交换机的VLAN？ vlan交换机,怎么设? 交换机VLAN是什么意思呢？谁知道Cisco 500E交换机如何开启http访问？？交换机如何限制别人网速??? 是什么CISCO交换机 cisco交换机命名规则 Cisco 6500系列交换机 cisco 6509交换机 cisco交换机相关问题 CISCO 1900交换机问题请问在交换机3900上如何察看下一级2100交换机的vlan cisco 路由器如何限制一个地址段不能上网如何让多台交换机上的相同VLAN互相访问，如何用单臂路由实现不同VLAN间的通信

王力宏白小姐:CISCO 交换机 如何限制VLAN互通

王力宏白小姐:CISCO 交换机如何限制VLAN互通