中小企业网络管理员实用教程全集之第12章

5. 配置PVLAN Host端口
6. 配置PVLAN Trunk端口
7. 将Secondary VLAN映射为 Primary VLAN三层VLAN接 口
12.4 访问控制列表
访问控制列表（ACL，Access Control List）是 Cisco IOS提供的一种访问控制技术，被广泛 应用于路由器和三层交换机。借助ACL，可以 有效地控制用户对网络和Internet的访问，从 而最大限度地保障网络安全，并使得企业网 络不被滥用。
12.3.1 了解PVLAN技术
1. VLAN的局限性 2. PVLAN技术 • PVLAN端口 • PVLAN域
VLAN的局限性
• VLAN的限制 • 复杂的STP • IP地址的紧缺 • 路由的限制
PVLAN技术
• PVLAN端口
PVLAN端口有3种类型：Promiscuous、Isolated、 Community。
第12章 三层交换机的配置
本章要点：
• PVLAN的配置 • 设置IP访问列表 • 设置端口访问列表 • 设置VLAN访问列表
12.1 配置IP路由
VLAN之间是无法直接通讯的，VLAN之间的通讯 必须借助于第三层交换机。
VLAN之间的通讯必须借助于三层接口才能实现。 因此，VLAN创建完成后，必须配置三层VLAN端 口，才能使VLAN之间的通讯成为可能。
PVLAN域
• Primary VLAN与Secondary VLAN
PVLAN域
• Trunk实现PVLAN传输
12.3.2 配置PVLAN
1. 配置PVLAN一般步骤
2. 将VLAN配置为PVLAN
3. 关联Primary VLAN与 Secondary VLAN
4. 配置PVLAN Promi~18:00，只允许VLAN 10 ~ VLAN 100的网络用户访问Web网站、收发电子邮件， 其他用户不受任何限制。
• periodic语句中可以使用的每星期天数中的参数
12.4.3 创建并应用端口访问列表
1. 创建端口扩展访问列表名称 2. 将端口访问列表应用到二层接口
12.4.4 创建并应用VLAN访问列表
1. 创建VLAN访问列表 2. 将VLAN访问列表应用到VLAN
12.5 习 题
简答题
1. 简述PVLAN的意义 2. 简述访问列表的分类及其应用
12.1.1 为第三层接口配置IP地址
1. 配置逻辑三层接口 2. 配置物理三层接口
12.1.2 设置默认网关
当没有配置路由协议时，交换机使用默认网关实 现与其他网络的通讯。需要注意的是，默认网关 必须是直接与交换机相连接的路由器端口的IP地址， 即路由器的LAN端口的IP地址。
12.1.3 设置静态路由
12.4.1 认识访问列表
1. 交换机支持的访问列 表
2. 访问列表的类型 • 标准IP访问控制列表 • 扩展IP访问控制列表 • 命名访问控制列表
3. 配置访问列表应当注 意的问题
• 自上而下的处理过程 • 添加表项 • 标准访问列表过滤 • 访问列表位置 • 语句的位置 • 访问列表应用 • 过滤方向
12.2.2 设置EtherChannel Trunk
• EtherChannel Trunk
12.3 私有VLAN
私有VLAN（Private Virtual Local Area Network， PVLAN）端口之间相互隔离，不能实现相互之间 的通信，仅可通过上联端口访问到企业网络。若 用户希望端口之间通信，必须借助三层交换机或 路由器进行路由转发。PVLAN在访问安全和避免 广播风暴方面做的是非常到位的。
如果Telnet终端或SNMP网络管理站点与交 换机位于不同的网络，并且没有配置路由 协议，那么，将需要添加静态路由表以实 现与彼此之间的通信。
12.2 配置三层EtherChannel
12.2.1 配置三层EtherChannel
1. 创建Port-Channel逻辑接口 2. 将物理端口配置为三层EtherChannel
操作题
1. 在Cisco Catalyst 4006和Catalyst 3750交换机 之间创建EtherChannel，并将该EtherChannel设 置为Trunk。
2. 在Cisco Catalyst 3550交换机的VLAN100上创建 PVLAN，禁止端口之间的互访，并实现对Internet 的访问。
4. 访问列表配置步骤
12.4.2 创建并应用IP访问列表
1. 创建标准访问列表 2. 创建扩展访问列表 3. 创建IP访问列表名称 4. 基于时间的访问列表 5. 将IP访问列表应用到接口
12.4.2 创建并应用IP访问列表
4. 基于时间的访问列表 5. 将IP访问列表应用到接口
基于时间的访问列表