VLAN+路由器典型配置实例
虚拟局域网(VLAN)路由实例
虚拟局域网(VLAN)路由实例例一:设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。
在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。
以下加重下横线部分,如set system name 5500C为需设置的命令。
设置如下:Catalyst 5500配置:beginset password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70set prompt Console>set length 24 defaultset logout 20set banner motd ^C^C!#systemset system baud 9600set system modem disableset system name 5500Cset system locationset system contact!#ipset interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255 set interface sc0 upset interface sl0 0.0.0.0 0.0.0.0set interface sl0 upset arp agingtime 1200set ip redirect enableset ip unreachable enableset ip fragmentation enableset ip route 0.0.0.0 10.230.4.15 1set ip alias default 0.0.0.0!#Command alias!#vtpset vtp domain hneset vtp mode serverset vtp v2 disableset vtp pruning disableset vtp pruneeligible 2-1000clear vtp pruneeligible 1001-1005set vlan 1 name default type ethernet mtu 1500 said 100001 state activeset vlan 777 name rgw type ethernet mtu 1500 said 100777 state activeset vlan 888 name qbw type ethernet mtu 1500 said 100888 state activeset vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state activeset vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieeeset vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibmset vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7!#set boot commandset boot config-register 0x102set boot system flash bootflash:cat5000-sup3.4-3-1a.bin!#module 1 : 2-port 1000BaseLX Supervisorset module name 1set vlan 1 1/1-2set port enable 1/1-2!#module 2 : empty!#module 3 : 24-port 10/100BaseTX Ethernet set module name 3set module enable 3set vlan 1 3/1-22set vlan 777 3/23set vlan 888 3/24set trunk 3/1 on isl 1-1005#module 4 empty!#module 5 empty!#module 6 : 1-port Route Switchset module name 6set port level 6/1 normalset port trap 6/1 disableset port name 6/1set cdp enable 6/1set cdp interval 6/1 60set trunk 6/1 on isl 1-1005!#module 7 : 24-port 10/100BaseTX Ethernet set module name 7set module enable 7set vlan 1 7/1-22set vlan 888 7/23-24set trunk 7/1 on isl 1-1005set trunk 7/2 on isl 1-1005!#module 8 empty!#module 9 empty!#module 10 : 12-port 100BaseFX MM Ethernet set module name 10set module enable 10set vlan 1 10/1-12set port channel 10/1-4 offset port channel 10/5-8 offset port channel 10/9-12 offset port channel 10/1-2 onset port channel 10/3-4 onset port channel 10/5-6 onset port channel 10/7-8 onset port channel 10/9-10 onset port channel 10/11-12 on#module 11 empty!#module 12 empty!#module 13 empty!#switch port analyzer!set span 1 1/1 both inpkts disableset span disable!#camset cam agingtime 1-2,777,888,1003,1005 300 end5500C> (enable)WS-X5302路由模块设置:Router#wri tBuilding configuration...Current configuration:!version 11.2no service password-encryptionno service udp-small-serversno service tcp-small-servers!hostname Router!enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. !ip subnet-zero!interface Vlan1ip address 10.230.2.56 255.255.255.0!interface Vlan777ip address 10.230.3.56 255.255.255.0!interface Vlan888ip address 10.230.4.56 255.255.255.0!no ip classless!line con 0line aux 0line vty 0 4password routerlogin!endRouter#例二:交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640路由器实现虚拟网间路由。
H3C路由多vlan上网经典配置
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
#
domain system
access-limit disable
state active
int e0/0
ip add 60.2.3.2 255.255.255.252
route-stac 0.0.0.0 0.0.0.0 外网网关60.2.3.254
内网IP地址:192.168.100.1/24 这个内网口是与S3600互连的端口,比如说是e1/0端口:
int e0/1
ip add 192.168.100.1 24
配置:
一、路由器配置
version 5.20, Release 1205P02, Basic
#
给路由器命名
sysname HUAWE-ROUTE
#
domain default enable system
#
vlan 1
#
radius scheme system
server-type extended
配置回程路由:
ip route-static 192.168.10.0 255.255.0.0 192.168.100.2
试验:VLAN间路由
VLAN间路由1 实验目的:配置VLAN间路由。
2 网络拓扑3 试验环境:PC0在交换机Fa0/1端口连接。
PC1在交换机Fa0/2端口连接。
IP地址已经如图配置好。
路由器Fa0/0已经和交换机Fa0/10连接,交换机的Fa0/10处于VLAN 1中。
路由器Fa1/0已经和交换机Fa0/4连接,交换机的Fa0/4处于VLAN 2中。
4 试验要求配置路由器F0/0端口,使其使用Ip地址192.168.0.1 255.255.255.0配置路由器F1/0端口,使其使用Ip地址192.168.1.1 255.255.255.0将PC1的IP地址配制成192.168.1.2 255.255.255.0 网关设置成192.168.1.15 基本配置步骤5.1在PC1上因为不同的VLAN,要使用不同网段的IP地址。
5.2在Router0上Router>enRouter#confi tRouter(config)#int fastEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shRouter(config-if)#int f1/0Router(config-if)#ip addRouter(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no sh5.3在PC1上ping PC 0PC>ping 192.168.0.2Pinging 192.168.0.2 with 32 bytes of data:Request timed out.Reply from 192.168.0.2: bytes=32 time=16ms TTL=127 Reply from 192.168.0.2: bytes=32 time=16ms TTL=127 Reply from 192.168.0.2: bytes=32 time=17ms TTL=127 Ping statistics for 192.168.0.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 16ms, Maximum = 17ms, Average = 16ms PC>可以看到不同VLAN之间通信必须通过路由器才行。
实验4 配置VLAN间的路由
实验4 配置VLAN间的路由实验目的:掌握不同VLAN之间的路由配置方法(本实验所用交换机——Cisco2950,路由器——Cisco2611)实验环境:思科2950交换机一台,思科2611路由器一台,计算机6台,其中一台用做配置交换机(本实验称其为计算机d),其余做客户机,操作系统都选Windows 2000 Professional。
实验步骤:第一部分:准备工作1、用反转线连接计算机d的第一串口和交换机的Console口,用直连线将计算机a、b、c、e、f连接到交换机的1至24端口的任意端口,用直连线将路由器的f0/0与交换机的任意端口相连。
2、设置PC机的IP地址:计算机a设置为:192.168.1.10计算机b设置为:192.168.1.20计算机c设置为:192.168.2.30计算机e设置为:192.168.2.40计算机f设置为:192.168.2.503、运行超级终端:在计算机d上打开“开始\程序\附件\通讯\超级终端”1)双击“Hypertrm”图标,在弹出的对话框的名称栏输入名称,如:switch,选中自己喜爱的图标,单击“确定”,弹出“连接到图标”对话框。
2)在“连接时使用”框选择“直接连接到串口1”,单击“确定”,弹出“COM1属性”对话框。
3)每秒位数(即波特率)选9600,其余设置默认值即可,单击“确定”。
4)按回车即可对交换机进行配置。
5)当看到询问消息时回答“no”。
第二部分:配置本地VLAN1、创建VLANA、进入交换机的配置模式:命令为:enableB、进入交换机的VLAN配置模式:在 # 提示符下输入:vlan database交换机的vlan配置模式的提示符为:switch(vlan)#C、为了创建vlan,交换机必须设置为VTP Server模式:命令为:vtp serverD、创建两个vlan,vlan号分别为2、3:命令为:vlan vlan-id name vlan-name例如:创建vlan 2的命令为 vlan 2 name hr创建vlan 3的命令为 vlan 3 name fs2、查看交换机的vlan1)退出vlan配置:在switch(vlan)#提示符下输入EXIT2)查看交换机的vlan:命令为:show vlan3、将五台PC机所连端口分别划分到vlanA、进入端口配置模式:在switch#提示符下输入:configure terminalB、将计算机a和计算机b所连端口划分给vlan 2,将计算机c、e、f所连端口划分给vlan 3。
NA实验VLAN间路由配置实例
下面是实验拓扑图:
相关说明:VLAN中文叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
本次实验用于实现vlan间的路由。
实验过程:
I:配置个模拟主机PC-1 PC-2 PC-3的IP。
II:在交换机KC-S上创vlan.建
III:在交换机上将相应vlan接口上应用vl an.
IV:PC-1不能ping通PC-2或PC-3,但PC-2和PC-3可以互通,可见vlan将主机阻隔
V:将KC-S的f1/1设定为trunk模式
VI:在路由器KC-R上设置支持trunk通信,采用子接口模式。
VII:测试。
H3C路由器配置VLAN
H3C路由器配置VLANH3C路由器配置VLAN以前经常使用的VLAN设置,基本都是靠交换机来实现。
但随着路由器技术的发展,VLAN技术也被引入到路由器中。
一,路由器中实现VLAN益处1,在路由器上实现VLAN可以把一些原本需要上面组合的情况变成路由器、二层交换机搭配接入交换机的组合。
而一般二层交换机的价格是三层交换机的1/2 ~ 1/3,所以通过使用路由器VLAN可以节省整体采购成本。
2,H3C新一代宽带路由器ER系列能够全面支持VLAN特性,通过路由器可以轻松把局域网划成多个虚拟隔离区域,例如按照企业的不同部门进行划分,可以保证虚拟网络之前互相独立,以保证信息安全。
同时基于WEB的智能化管理界面,让管理员的手工操作更简单,这也有助于提升管理效率。
3,H3C ER系列路由器针对不同行业还作了定制的优化设计。
如,在酒店网络环境中,根据公安部82号令,要求酒店中每一个房间都必须划分VLAN,而且报文必须携带VLAN号以进行上网监控。
管理员需要对每间客房、办公区都单独划分VLAN,来保证信息安全与可控。
如果管理员分别去配置每一个房间的VLAN,工作量将非常大。
H3C ER5100是ER系列中专门针对酒店业务的路由器,配套有专用酒店网络管理软件。
在此软件中,管理员只需要输入地址池和VLAN范围,ER 5100便会自动为房间分配网络地址和VLAN,而不需要手工一一输入,这也大大减少了管理维护的工作量。
H3C ER系列路由器的VLAN特性,非常适用于酒店、企业、网吧等场所。
既可帮您节省成本又可助您提升工作效率。
二,下面看一个有关H3C路由器配置VLAN的例子H3C华为路由器qos car+nat+dhcp+vlan配置一个小型办公网络,有两家公司(A、B)在一个写字楼办公,共申请一条4M独享VDSL专线(其中A是缴3M 的专线费用,B是缴1M的专线费用),共60台电脑左右,各30台电脑,各三台非网管24口D-LINK交换机,一台华为1821路由器(1wan口,4lan口)。
VLAN间路由的配置
VLAN间路由的配置举例:完成VLAN10、VLAN20、VLAN30三个VLAN之间的通信一、利用路由器实现VLAN间的路由1、路由器配置创建第一个子端口:对应VLAN10R1(config)# interface FastEthernet0/0.1 //建立子端口R1(config-subif)# encapsulation dot1Q 10 //封装所属的VLAN R1(config-subif)# ip address 192.168.10.100 255.255.255.0 //配置所属VLAN的IP地址创建第二个子端口:对应VLAN20R1(config)# interface FastEthernet0/0.2R1(config-subif)# encapsulation dot1Q 20R1(config-subif)# ip address 192.168.20.100 255.255.255.0创建第三个子端口:对应VLAN30R1(config)# interface FastEthernet0/0.3R1(config-subif)# encapsulation dot1Q 30R1(config-subif)# ip address 192.168.30.100 255.255.255.0打开物理端口,使所有逻辑子端口成为UP状态R1(config)# interface FastEthernet0/0R1(config-if)# no shuodown2、二层交换机的配置与路由器相连接的二层交换机的端口必须设置为TRUNK端口。
Switch(Config)# Int f0/5Switch(Config-if)# Switchport mode trunk3、终端PC的配置每一台终端PC都要将网关设置为:属于本VLAN的路由器子接口的IP地址。
二、利用三层交换机实现VLAN间路由1、三层交换机的配置创建相应的VLANSwitch(Config)#vlan 10Switch(Config)#vlan 20Switch(Config)#vlan 30创建VLAN接口并设置IP地址;Switch(Config)#interface vlan 10Switch(Config-If-Vlan10)#ip address 192.168.10.100 255.255.255.0Switch(Config)#interface vlan 20Switch(Config-If-Vlan20)#ip address 192.168.20.100 255.255.255.0Switch(Config)#interface vlan 30Switch(Config-If-Vlan30)#ip address 192.168.30.100 255.255.255.0设置TRUNK端口与二层交换机相连接的三层交换机的端口必须设置为TRUNK端口。
路由器单臂路由配置实例和VLAN的DHCP
rule 23 deny tcp destination-port eq 9995
rule 24 deny udp destination-port eq 9995
rule 25 deny tcp destination-port eq 1068
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
===============================================================
rule 0 permit source 192.168.0.0 0.0.255.255
rule 1 deny
#
acl number 3000
rule 0 deny udp destination-port eq tftp
rule 1 deny tcp destination-port eq 135
[AR28-31]dis cu
#
sysname Quidway
#
FTP server enable
#
nat address-group 0 222.222.222.2 222.222.222.10 用于上公网的地址池
#
radius scheme system
#
domain system
port access vlan 10
VLAN间路由和HSRP的综合案例
拓扑说明:1.R3和R4模拟客户pc,分别属于vlan10和vlan20。
vlan10和vlan20在现实中代表公司的不同部门。
2.SW1为三层交换机,SW2为二层交换机。
3.R5模拟internet,R5上有个环回口lo0:5.5.5.5/24需求:1.各接口ip如图所示。
2.各个部门直接能相互访问,同时均可以正常访问internet。
3.双网关提供冗余,并在一方出现故障时自动切换。
解决方案:1.通过SW1的三层功能实现vlan间路由。
2.采用HSRP实现网关的冗余和备份。
3.在网关上做NAT。
4.内网运行RIPv2,外部运行OSPF。
实现网络的全联通,并保证内部与外部的相对隔离。
配置摘要如下:R01#sh run!!interface FastEthernet0/0ip address 172.16.12.1 255.255.255.0ip rip advertise 5ip nat insideip virtual-reassemblyspeed 100full-duplexstandby 1 ip 172.16.12.254standby 1 priority 120standby 1 preemptstandby 1 track Serial1/0 100!!interface Serial1/0ip address 10.10.15.1 255.255.255.0ip nat outsideip virtual-reassemblyserial restart-delay 0no dce-terminal-timing-enable!!router ospf 100router-id 1.1.1.1log-adjacency-changesnetwork 10.10.15.1 0.0.0.0 area 0!router ripversion 2timers basic 5 15 0 15network 172.16.0.0no auto-summary!ip nat inside source list 1 interface Serial1/0 overload!access-list 1 permit 192.168.0.0 0.0.255.255!!!end///////////////////////////////////////////////////////////////////// //////////////////////R02#sh run!!interface FastEthernet0/0ip address 172.16.12.2 255.255.255.0ip rip advertise 5ip nat insideip virtual-reassemblyspeed 100full-duplexstandby 1 ip 172.16.12.254standby 1 preemptstandby 1 track Serial1/0!!interface Serial1/0ip address 10.10.25.2 255.255.255.0ip nat outsideip virtual-reassemblyserial restart-delay 0no dce-terminal-timing-enable!!router ospf 100router-id 2.2.2.2log-adjacency-changesnetwork 10.10.25.2 0.0.0.0 area 0!router ripversion 2timers basic 5 15 0 15network 172.16.0.0no auto-summary!!ip nat inside source list 1 interface Serial1/0 overload!access-list 1 permit 192.168.0.0 0.0.255.255!!end///////////////////////////////////////////////////////////////////// ////////////////R03#sh run!no ip routing!!interface FastEthernet0/0ip address 192.168.13.3 255.255.255.0no ip route-cachespeed 100full-duplex!!ip default-gateway 192.168.13.254!!end///////////////////////////////////////////////////////////////////// /////////////////R04#sh run!no ip routing!!!interface FastEthernet0/0ip address 192.168.24.4 255.255.255.0no ip route-cachespeed 100full-duplex!!ip default-gateway 192.168.24.254!end///////////////////////////////////////////////////////////////////// ///////////////////R05#sh run!!interfaceLoopback0 //模拟internet上的某个网络节点ip address 5.5.5.5 255.255.255.0ip ospf network point-to-point!!interface Serial1/0ip address 10.10.15.5 255.255.255.0serial restart-delay 0no dce-terminal-timing-enable!interface Serial1/1ip address 10.10.25.5 255.255.255.0serial restart-delay 0no dce-terminal-timing-enable!!router ospf 100router-id 5.5.5.5log-adjacency-changesnetwork 5.5.5.5 0.0.0.0 area 0network 10.10.15.5 0.0.0.0 area 0network 10.10.25.5 0.0.0.0 area 0!!end///////////////////////////////////////////////////////////////////// ///////////////////SW01#sh run!interface FastEthernet0/1switchport access vlan 30no ip addressduplex fullspeed 100!!interface FastEthernet0/3switchport access vlan 10no ip addressduplex fullspeed 100!!interface FastEthernet0/12switchport mode trunkno ip addressduplex fullspeed 100!interface FastEthernet0/13switchport mode trunkno ip addressduplex fullspeed 100!!!interface Vlan10ip address 192.168.13.254 255.255.255.0ip rip advertise 5!interface Vlan20ip address 192.168.24.254 255.255.255.0ip rip advertise 5!interface Vlan30 // vlan30的设置至关重要,它保证了内部客户机和网关之间ip address 172.16.12.123 255.255.255.0 // 的连通性。
实验十VLAN间路由的配置
实验十 VLAN间路由的配置一、实验目的1.掌握单臂路由实现VLAN间通信的方法2.掌握三层交换机实现VLAN间通信的方法二、实验内容1.单臂路由的配置2.三层交换机实现VLAN间路由的配置三、实验步骤任务一单臂路由的配置实验拓扑:路由器:Cisco 2811,交换机:Cisco 2950实验步骤:1.创建Vlan2950#vlan databae2950(vlan)#vlan 10 name math2950(vlan)#vlan 20 name chinese2.把交换机端口分配给Vlanpc0与pc1划分到vlan 10中,pc0和pc1连接到交换机的接口分别为fa0/2和fa0/3 pc2与pc3划分到vlan 20中,pc2和pc3连接到交换机的接口分别为fa0/4和fa0/5 2950#conf t2950(config)#int range fa0/2 - 32950(config-if-range)#switchport mode access2950(config-if-range)#switchport access vlan 102950(config-if-range)#int range fa0/4 - 52950(config-if-range)#switchport mode access2950(config-if-range)#switchport access vlan 20查看vlan相关信息,截图。
3.配置交换机trunk端口交换机的fa0/1接口连接到路由器的fa0/1接口2950(config)int fa0/12950(config-if)switchport mode trunk4.配置路由器子接口Router#conf tRouter(config)#int fa0/1.10//配置子接口,协议类型为cisco专用的dot1qRouter(config-subif)#encapsulation dot1q 10//指明子接口封闭类型,并定义承载vlanID的流量Router(config-subif)#ip address 192.168.1.1 255.255.255.0 //vlan10主机的网关地址Router(config-subif)#int fa0/1.20Router(config-subif)#encapsulation dot1q 20Router(config-subif)#ip address 192.168.2.1 255.255.255.0Router(config-subif)#int fa0/1Router(config-if)#no shut查看路由器中的路由表,截图。
VLAN配置实例
VLAN配置实例网络拓扑如下图所示:这个网络有两台2950 交换机,连接到路由器LAB_B的叫2950B,连接到路由器LAB_C的叫2950C。
为了管理VLAN,VLAN1使用172.16.10.0/24网络地址;路由器LAB_B的fa0/0接口用来配置VLAN间的路由,每个交换机必须有一个172.16.10.0网络中的Ip地址,子网间可以相互通信。
计划创建两个子网:VLAN 2 拥有子网络地址172.16.20.0/24,VLAN 3拥有网络地址172.16.30.0/24。
将fa0/2分配给VLAN2,将fa0/3分配给VLAN3。
第一步:进行交换机的基本配置,包括名字、地址等2950C交换机的配置:Switch(config)#hostname 2950C2950C(config)#enable secret todd2950C(config)#line con 02950C(config-line)#login2950C(config-line)#password console2950C(config-line)#line vty 0 152950C(config-line)#login2950C(config-line)#password telnet2950C(config-if)#interface f0/42950C(config-if)#description Connection to 2950B2950C(config-if)#int f0/52950C(config-if)#description 2nd connection to 2950B2950C(config-if)#int vlan12950C(config-if)#ip address 172.16.10.2 255.255.255.0 //配置管理地址2950C(config-if)#no shut2950C(config-if)#exit2950C(config)#ip default-gateway 172.16.10.12950C(config)#^Z2950C#copy run startDestination filename [startup-config]? [Press Enter]Building configuration...[OK]2950C#2950B交换机的配置:Switch(config)#hostname 2950B2950B(config)#enable secret todd2950B(config)#line con 02950B(config-line)#login2950B(config-line)#password console2950B(config-line)#line vty 0 152950B(config-line)#login2950B(config-line)#password telnet2950B(config)#int f0/12950B(config-if)#description Connection to router 2950B(config)#int f0/42950B(config-if)#desc connection to 2950C2950B(config-if)#int f0/52950B(config-if)#desc 2nd connection to 2950C2950B(config-if)#int vlan 12950B(config-if)#ip address 172.16.10.3 255.255.255.0 2950B(config-if)#no shut2950B(config-if)#exit2950B(config)#ip default-gateway 172.16.10.12950B(config)#exit2950B#copy run startDestination filename [startup-config]? [Press Enter] Building configuration...[OK]2950B#2950B#ping 172.16.10.2 //检查和2950C的连通情况.!!!!到目前为止,两台交换机已经完成基本的信息配置,并且能够ping通。
VLAN间路由配置实例分享
VLAN间路由配置实例分享在网络中,VLAN(Virtual LAN)是一种将局域网划分为多个虚拟局域网的技术。
不同的VLAN之间通常是隔离的,为了使不同的VLAN之间能够互相通信,需要进行VLAN间路由配置。
本文将分享一个VLAN间路由配置的实例,帮助读者理解如何正确配置VLAN间路由。
首先,我们需要明确一些概念。
在VLAN间路由配置中,我们需要有一个具备路由功能的设备,比如路由器或三层交换机。
此外,我们还需要划分不同的VLAN,并为每个VLAN分配一个IP地址段。
接下来,我们将以一个企业网络为例,展示如何配置VLAN间路由。
假设我们有以下几个要求:1. 划分三个VLAN,分别用于管理、销售和研发部门。
2. 每个VLAN分配一个IP地址段。
3. 不同VLAN之间需要互相通信。
首先,我们需要在路由器或三层交换机上创建三个VLAN,并为每个VLAN分配一个唯一的VLAN ID。
假设我们将管理部门的VLAN ID设置为10,销售部门的VLAN ID设置为20,研发部门的VLAN ID 设置为30。
接下来,我们需要在交换机上将各个端口划分到相应的VLAN中。
比如,将管理部门的端口划分到VLAN 10,销售部门的端口划分到VLAN 20,研发部门的端口划分到VLAN 30。
然后,我们需要为每个VLAN配置IP地址段。
假设管理部门的IP 地址段为192.168.10.0/24,销售部门的IP地址段为192.168.20.0/24,研发部门的IP地址段为192.168.30.0/24。
我们需要将这些IP地址段分别分配给相应的VLAN。
此时,不同的VLAN已经配置完成,但它们之间还无法通信。
接下来,我们需要在路由器或三层交换机上配置VLAN间路由。
首先,我们需要将交换机的某个接口配置为Trunk口,用于连接到路由器或三层交换机的接口。
Trunk口上会承载多个VLAN的数据流量。
然后,我们需要在路由器或三层交换机上配置子接口。
实验三 VLAN间静态路由配置
实验三VLAN间静态路由配置实验内容●掌握VLAN间静态路由配置;静态路由配置实验目的●掌握静态路由在三层交换机上的配置。
实验环境●Quidway系列S3526交换机2台;E0/1E0/1PCA VLAN2PCBVLAN3PCCVLAN2实验步骤实验基本配置准备如上图所示,PCA IP地址为10.1.1.2/24,属于VLAN2,PCA网关(VLAN2路由接口)IP地址为10.1.1.1/24;PCB IP地址为10.1.2.2/24,属于VLAN3,PCB网关(VLAN3路由接口)IP地址为10.1.2.1/24;PCC IP地址为10.1.3.2/24,属于VLAN2,PCC网关(VLAN2路由接口)IP地址为10.1.3.1/24;分配S3526A和S3526B二台交换机之间的互联网段为10.1.4.0/24,并且S3526A VLAN4路由接口IP地址为10.1.4.1/24,S3526B VLAN4路由接口IP地址为10.1.4.2/24。
具体配置在二台三层交换机上创建VLAN,并配置PC属于特定VLAN:[S3526A]vlan 2[S3526A-vlan2]port ethernet 1/0/9 to ethernet 1/0/16[S3526A-vlan2]vlan 3[S3526A-vlan3]port ethernet 1/0/17 to ethernet 1/0/24[S3526A-vlan3]vlan 4[S3526A-vlan4] interface Ethernet 1/0/1[S3526A-Ethernet1/0/1] port link-type trunk[S3526A-Ethernet0/1] port trunk permit vlan all[S3526B]vlan 2[S3526B-vlan2]port ethernet 1/0/9 to ethernet 1/0/16[S3526B-vlan2]vlan 4[S3526B-vlan4] interface Ethernet 1/0/1[S3526B-Ethernet1/0/1] port link-type trunk[S3526B-Ethernet1/0/1] port trunk permit vlan all配置各台PC的网关地址和交换机之间的网段地址:[S3526A]interface Vlan-interface 2[S3526A-Vlan-interface2]ip address 10.1.1.1 255.255.255.0[S3526A-Vlan-interface2]interface Vlan-interface 3[S3526A-Vlan-interface3]ip address 10.1.2.1 255.255.255.0[S3526A-Vlan-interface3] interface Vlan-interface 4[S3526A-Vlan-interface4]ip address 10.1.4.1 255.255.255.0[S3526B]interface Vlan-interface 2[S3526B-Vlan-interface2]ip address 10.1.3.1 255.255.255.0[S3526B-Vlan-interface2] interface Vlan-interface 4[S3526B-Vlan-interface4]ip address 10.1.4.2 255.255.255.0在二台三层交换机上配置非直连网段静态路由:[S3526A]ip route-static 10.1.3.0 255.255.255.0 10.1.4.2[S3526B]ip route-static 10.1.1.0 255.255.255.0 10.1.4.1[S3526B]ip route-static 10.1.2.0 255.255.255.0 10.1.4.1配置完成后,全网络达到互通,我们可以用“display ip routing-table”命令察看路由表(Pre表示优先权):[S3526B]display ip routing-tableRouting Table: public netDestination/Mask Proto Pre Cost Nexthop Interface10.1.1.0/24 STATIC 60 0 10.1.4.1 Vlan-interface410.1.2.0/24 STATIC 60 0 10.1.4.1 Vlan-interface410.1.3.0/24 DIRECT 0 0 10.1.3.1 Vlan-interface210.1.3.1/32 DIRECT 0 0 127.0.0.1 InLoopBack010.1.4.0/24 DIRECT 0 0 10.1.4.2 Vlan-interface410.1.4.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0在三层交换机中,有关三层数据的转发主要是基于ipfdb表格进行的。
H3C VLAN+路由器典型配置实例教程
H3C VLAN+路由器典型配置实例教程时间:2011-02-16 14:03来源:未知作者:admin 点击:次近期看到有些朋友问交换机划VLAN 后接路由器如何配置访问外网,其实这是个比较简单,也比较典型的配置。
网上也很容易找到,但都不系统很零散。
这里针对几种常见的情况,分别做了配置:1、拓扑结构图:1)本例中的路由器均为华为AR28-10,交换机SW1为华为的S3526 带3 层交换功能,SW2为华为2403H-EI二层交换机。
2)图模拟了常见的拓扑结构。
也没有用到任何厂商特性,因此也适用于其他厂商的设备,只是命令行有所不同。
2、基础配置:ISP: in近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网,其实这是个比较简单,也比较典型的配置。
网上也很容易找到,但都不系统很零散。
这里针对几种常见的情况,分别做了配置:1、拓扑结构图:1)本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能,SW2为华为 2403H-EI二层交换机。
2)图模拟了常见的拓扑结构。
也没有用到任何厂商特性,因此也适用于其他厂商的设备,只是命令行有所不同。
2、基础配置:ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。
ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA,也即分配地址池给 RA。
RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池,也即 ISP分配的地址段。
华为路由器交换VLAN配置实例
华为路由器交换VLAN配置实例配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。
实现防火墙策略,和访问控制(ACL)。
网络结构如图:华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。
(1)创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
华为交换机实现VLAN间路由实例
华为交换机实现VLAN间路由实例Cisco 三层交换机实现VLAN间路由华为三层交换机VLAN间路由配置:(1)在二层交换机上配置VLAN2、VLAN3,分别将端口2、端口3划到VLAN2、VLAN3;(2)将二层交换机与三层交换机相连的端口F0/1都定义为trunk模式;(3)在三层交换机上配置VLAN2、VLAN3,此时验证二层交换机VLAN2、VLAN3下带主机之间不能互相通信;(4)设置三层交换机VLAN间通信,创建VLAN2、3的虚拟接口,并配置虚拟接口VLAN2、3的IP地址;(5)查看三层交换机路由表(6)将二层交换机华为三层交换机VLAN间路由配置:(1)在二层交换机上配置VLAN2、VLAN3,分别将端口2、端口3划到VLAN2、VLAN3;(2)将二层交换机与三层交换机相连的端口F0/1都定义为trunk 模式;(3)在三层交换机上配置VLAN2、VLAN3,此时验证二层交换机VLAN2、VLAN3下带主机之间不能互相通信;(4)设置三层交换机VLAN间通信,创建VLAN2、3的虚拟接口,并配置虚拟接口VLAN2、3的IP地址;(5)查看三层交换机路由表(6)将二层交换机VLAN2、VLAN3下的主机默认网关分别设置为相应虚拟接口的IP地址;(7)验证二层交换机VLAN2、VLAN3下的主机之间可以互相通信;(1)在二层交换机上配置VLAN2、VLAN3,分别将端口2、端口3划到VLAN2、VLAN3;[Switch2]vlan 2[Switch2-vlan2]port Ethernet 0/2[Switch2-vlan2]vlan 3[Switch2-vlan3]port ethernet 0/3[Switch2-vlan3]quit(2) 两主机互ping,不通;(3) 定义二层交换机与三层交换机相连的端口F0/1为tag vlan (trunk)模式,允许所有vlan通过;[Switch2]interfa e 0/1 (进入交换机接口0/1)[Switch2-Ethernet0/1]port link-type trunk (将端口设置为trunk)[Switch2-Ethernet0/1] port trunk permit vlan all //允许所有vlan通过。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网,其实这是个比较简单,也比较典型的配置。
网上也很容易找到,但都不系统很零散。
这里针对几种常见的情况,分别做了配置:1、拓扑结构图:1)本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能,SW2为华为 2403H-EI二层交换机。
2)图模拟了常见的拓扑结构。
也没有用到任何厂商特性,因此也适用于其他厂商的设备,只是命令行有所不同。
2、基础配置:ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。
ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA,也即分配地址池给 RA。
RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池,也即ISP分配的地址段。
(如果外网接口类型为广播,则最好把这些地址配置给LOOPBACK接口,否则可能不同,但此例是点对点接口,无此问题)acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T,采用先前配置的地址池。
ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 配置默认路由SW1:gvrp #启用GVRP 注册协议,用于动态创建SW2的VLAN,实现VLAN 的集中管理。
vlan 2 #创建各VLANvlan 3vlan 24#因为S3526 不支持被路由接口,因此将E0/24 划到VLAN24,给VLAN24 配置虚接口IP用于路由。
(cisco 则可以在e0/24接口用no switchport 配置为被路由接口,直接配置IP即可)interface Vlan-interface2 #配置VLAN 虚接口IPip address 172.16.0.254 255.255.255.0interface Vlan-interface3 配置VLAN 虚接口IPip address 172.16.1.254 255.255.255.0interface Vlan-interface24 配置VLAN 虚接口IPip address 10.0.0.2 255.255.255.252interface Ethernet0/1 #划分接口到VLANport access vlan 2interface Ethernet0/10 #配置和SW2 互联的E0/10接口为Trunk 接口,并启用GVRP协议。
port link-type trunkport trunk permit vlan 2 to 3gvrp registration fixedgvrpinterface Ethernet0/24 #划分接口到VLANport access vlan 24SW2:gvrp#启用GVRP 协议,接收SW1 配置的VLANinterface Ethernet0/1 #给VLAN划接口port access vlan 3interface Ethernet0/10 #配置和SW1 相连的Trunk口,并启用GVRPport link-type trunkport trunk permit vlan 1 to 3gvrp3、3层交换+VLAN+路由器+静态路由:1)此例为内网采用静态路由配置,也是常见并推荐采用的配置。
RA:ip route-static 172.16.0.0 255.255.255.0 10.0.0.2 preference 60 #这2句指向内网2个VLAN网段即是回指路由。
ip route-static 172.16.1.0 255.255.255.0 10.0.0.2 preference 60SW1:ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 #配置静态缺省路由,指向RA.4、3 层交换+VLAN+路由器+动态路由(RIP V2):1)此例为动态路由配置,考虑到子网划分,采用RIP V2 路由协议。
不过针对于如此简单的拓扑,不推荐用动态路由协议。
从下例可以看到,其实对于一个简单的网络。
动态路由协议比静态路由更麻烦。
RA:interface Ethernet0/0rip version 2 multicast #配置RIP版本2interface Serial0/0undo rip output #这2 句是配置S0/0 为RIP被动接口。
undo rip inputrip #配置RIP协议import-route static cost 2 #重发布静态路由0.0.0.0 给SW1,让SW1 知道缺省出口。
network 10.0.0.0SW1:interface Vlan-interface24rip version 2 multicast #配置RIP 版本2rip#RIP 配置undo summary #关闭自动汇总,这样RA就能够知道网络172.16.0.0 的具体子网了。
network 10.0.0.0network 172.16.0.05、单臂路由配置:1)此例用于不支持3 层交换的2 层交换机使用。
由于路由器的转发速率大大低于3 层交换机的转发速率,因此如果有 3 层交换机,尽量不要采用此配置。
RA:interface e0/0undo ip address #此时E0/0 接口原来的10.0.0.0/30 段的IP已经无用了,可以去掉了。
interface Ethernet0/0.2#配置VLAN2 的子接口ip address 172.16.0.254 255.255.255.0vlan-type dot1q vid 2#interface Ethernet0/0.3#配置VLAN3 的子接口ip address 172.16.1.254 255.255.255.0vlan-type dot1q vid 3acl number 2000undo rule 2 #此时ACL 2000的rule 2也没用了,可以去掉了。
quitSW1:undo vlan 24 #此时的VLAN24 已经没用了,去掉它。
interface Ethernet0/24 #配置E0/24 口为Trunk口,此口用于连接RA,做单臂路由。
port link-type trunkport trunk permit vlan 2 to 36、补充配置:1)对于控制系统的安全,以及其他配置等,请参考其他资料。
尽量建议在路由器上配置。
交换机配置过多的ACL是要影响转发性能的。
2)如果PC 间无需通信,可以考虑配置PVLAN 来进行隔了。
这样可以有效的控制病毒的传播。
PVLANPVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。
尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN (Secondary VLAN)。
辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
①混杂端口(Promiscuous Port)②主机端口(Host Port)其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。
因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。
那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
pVLAN通信范围:primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
community VLAN:可以同那些处于相同community VLAN内的community port 通信,也可以与pVLAN中的promiscuous端口通信。
(每个pVLAN可以有多个community VLAN)isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。
(每个pVLAN中只能有一个isolated VLAN)pVLAN当中使用的一些规则:1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。