赞
踩
上篇博客讲了三层交换机的虚接口,VLAN划分,以及服务器的简单配置,这章将会有主校区分校区如何用静态路由连接 以及简单的ACL访问控制列表。
三层交换机vlan及静态路由的配置(主校区分校区)(一)-CSDN博客
这里的两个交换机与路由器相连接的接口我们采用的是access模式
所以进入这两个分别进入这两交换机先划分相应的VLAN,在进入该VLAN的虚接口下设置接口ip地址,作为该VLAN的网关地址。
这里以主校区的核心交换机为例子
- vlan 11
- interface Vlanif11
- ip address 172.10.1.1 255.255.255.0
这里的dis this是查看该接口下的设置简写
同样的分校区的中心机房的交换机也是同样的配置方法。
以MR交换机为例子
与交换机不同的是少了划分VLAN的步骤,可直接进入相应的接口设置接口ip地址。
-
- interface GigabitEthernet0/0/0
- ip address 10.0.0.1 255.255.255.0
-
- interface GigabitEthernet0/0/1
- ip address 172.10.1.2 255.255.255.0
另一台路由器也是同样的步骤。
前面的一二都是准备步骤,要实现主校区分校区各部门之间的互通主要靠的是路由表。
注意事项:路由表是双向配置
ip route-static 目的地址 下一跳地址
比如主校区要访问分校区的财务部部门:
我们就需要在主校区核心交换机(MSW)、主校区路由器(MR)、分校区路由器(mR)这三个设备配置路由表。
MSW:ip route-static 172.22.2.0 255.255.255.0 172.10.1.2
MR:ip route-static 172.22.2.0 255.255.255.0 10.0.0.2
mR:ip route-static 172.22.2.0 255.255.255.0 172.11.1.1
MSW的目的是财务部门的起始地址,下一跳是路由器(MR)的与MSW相连接的虚接口ip(172.10.1.2)
MR的目的地是财务部门的起始地址,下一跳是路由器(mR)的与MR相连接的虚接口ip(10.0.0.2)
mR的目的地是财务部门的起始地址,下一跳是分校区交mSW)的与MR相连接的虚接口ip(172.11.1.1)
主校区访问分校区的行政部门也是如此配置路由表。
因为路由表是双向配置,当分校区访问主校区的各部门时需要在分校区中心机房交换机(mSW)、路由器(mR)、路由器(MR)配置路由表。
我们在这里以分校区访问电产部门(172.20.1.1/24)为例子
mSW:ip route-static 172.20.1.0 255.255.255.0 172.11.1.2
mSW的目的(172.20.1.0)是电产部门的起始地址,下一跳是路由器(mR)的与mSW相连接的虚接口ip(172.11.1.2)
mR:ip route-static 172.20.1.0 255.255.255.0 10.0.0.1
mR的目的(172.20.1.0)是电产部门的起始地址,下一跳是路由器(MR)的与mR相连接的虚接口ip(10.0.0.1)
MR:ip route-static 172.20.1.0 255.255.255.0 172.10.1.1
MR的目的(172.20.1.0)是电产部门的起始地址,下一跳是路由器(mR)的与交换机(MSW)相连接的虚接口ip(172.10.1.1)
其它部门及服务器也是如此配置,配置完成之后即可在主校区的pc端上ping通分校区的pc端ip
要求:除财务部门外,部门内部能互访,部门之间能互访。财务部门只能访问财务部门和服务器。这里采用高级ACL访问控制技术。
这里我们配置的是高级访问控制列表。也就是从3000开始。
这里可以在核心交换机或者其它经过财务部门交换机上皆可设置ACL规则。这里选取汇聚层交换机MSW6交换机配置ACL规制;
这里的ACL3000,既是一个规则列表,该列表的所有规则按照序号的大小有着相应的优先级。序号越小的优先级越高。
- acl number 3000
- rule 5 permit ip source 172.22.2.0 0.0.0.255 destination 172.22.1.0 0.0.0.255
- //允许172.22.2.0 的网段访问172.22.1.0
- rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 172.22.1.0 0.0.0.255
- rule 15 deny ip destination 172.22.1.0 0.0.0.255//不允许任何ip访问172.22.1.0
这里只是配置了ACL规则,要启用该规则,则需要在该交换机的接口处启用该规则,(只需要设置这一个,因为进入该接口的流量只有这一个接口)
- interface GigabitEthernet0/0/24
- traffic-filter inbound acl 3000
同样,分校区的控制列表也可以这样设置。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。