一个路由器,一个二层交换机,两个PC当作(两个不同vlan用)
请问:如果需要两个PC(即两个vlan)不能通信,但是都能访问路由,这样可以实现吗?如果你知道,可不可以给个简单的配置信息,谢谢,学习!...
请问:如果需要两个PC(即两个vlan)不能通信,但是都能访问路由,这样可以实现吗?如果你知道,可不可以给个简单的配置信息,谢谢,学习!
展开
4个回答
展开全部
路由器支持逻辑子接口创建的话,可以这样做。路由器连交换机端口上创建逻辑之接口。
CISCO的命令是这样
全局模式下int f0/1.1
ip address 192.168.1.1 255.255.255.0
encapsulation dot1q 2
int f0/1.2
ip address 192.168.2.1 255.255.255.0
encapsulation dot1q 3
然后在交换机上创建 VLAN2 VLAN3 ,连路由器端口设置成TRUNK,SWITCHPORT MODE TRUNK.
路由器上启动路由协议
如果不想他们互访的话用静态路由最简单不过。
用动态路由的话,然后再用访问控制列表,控制他们不让他们互访。
CISCO的命令是这样
全局模式下int f0/1.1
ip address 192.168.1.1 255.255.255.0
encapsulation dot1q 2
int f0/1.2
ip address 192.168.2.1 255.255.255.0
encapsulation dot1q 3
然后在交换机上创建 VLAN2 VLAN3 ,连路由器端口设置成TRUNK,SWITCHPORT MODE TRUNK.
路由器上启动路由协议
如果不想他们互访的话用静态路由最简单不过。
用动态路由的话,然后再用访问控制列表,控制他们不让他们互访。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
其实oppoa10000k 已经解释得很清楚的了...
其实这个叫做单臂路由,楼主上网应该可以搜索到好多这方便的资料..
如果需要配置,可以直接参考 oppoa10000k 的..
按照oppoa10000k 的配置....PC1 的默认网关就是192.168.1.1, PC2的网关就是192.168.2.1
这样两个VLAN里的PC 是可以相互通信的......oppoa10000k有一点不对就是,这里是不用起路由协议的,不用写静态路由,两个VLAN的PC也是可以相互通信的
楼主需要思考一下数据是根据路由是走的就知道为什么
所以这里要增加ACL来让两个VLAN的PC不能相互访问,这里我就参照oppoa10000k 的配置来写ACL了.....
进入全局模式
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
然后把ACL 100 应用到f0/1.1 子接口的进方向
interface f0/1.1
ip access-group 100 in
把ACL101 应用到f0/1.2 子接口的进方向
interface f0/1.2
ip access-group 101 in
其实这个叫做单臂路由,楼主上网应该可以搜索到好多这方便的资料..
如果需要配置,可以直接参考 oppoa10000k 的..
按照oppoa10000k 的配置....PC1 的默认网关就是192.168.1.1, PC2的网关就是192.168.2.1
这样两个VLAN里的PC 是可以相互通信的......oppoa10000k有一点不对就是,这里是不用起路由协议的,不用写静态路由,两个VLAN的PC也是可以相互通信的
楼主需要思考一下数据是根据路由是走的就知道为什么
所以这里要增加ACL来让两个VLAN的PC不能相互访问,这里我就参照oppoa10000k 的配置来写ACL了.....
进入全局模式
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
然后把ACL 100 应用到f0/1.1 子接口的进方向
interface f0/1.1
ip access-group 100 in
把ACL101 应用到f0/1.2 子接口的进方向
interface f0/1.2
ip access-group 101 in
追问
您好!我想请教下,上面做的access-list在绑定到某个端口的时候,in和out的选择?在什么情况下是进口,什么情况下是出口数据?根据上面access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255;access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255第一条语句是阻止源地址为192.168.1.0 到目标网段为192.168.2.0 的数据;在绑定到f0/0.1时候,为什么是进口方向?我新手,谢谢你的解答!
追答
意思就是阻止从 f0/0.1 进来的源地址是192.168.1.0/24 目的地址是192.168.2.0/24 的数据包
因为我这里写的是扩展访问列表,所以这里应用在f0/0.1接口上的IN或OUT方向都是一样的
但是如果我不是写扩展ACL,写的只是普通的ACL,普通的ACL只能根据源地址进行匹配,
例如以下..
access-list 10 192.168.1.0 0.0.0.255
这样的话.我要阻止 192.168.1.0 访问192.168.2.0 网络
这条10的访问列表就要应用在f0/0.2 接口的出方向了
ip access-group 10
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
如果是Cisco Catalyst交换机可以考虑楼上二位的做法,但个人比较推荐pVLAN,即私有VLAN,这样扩展性较好,今后如果需要增减VLAN比较方便;
如果是Huawei Quidway交换机也有对应的技术,叫做SuperVLAN,楼主可自查;
如果其他品牌交换机,只能借助单臂路由器后再控制了。
如果是Huawei Quidway交换机也有对应的技术,叫做SuperVLAN,楼主可自查;
如果其他品牌交换机,只能借助单臂路由器后再控制了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
进入不同端口,设置为vlan1 和vlan2 添加端口到vlan里。
int fa0/1 命令自己搜
int fa0/1 命令自己搜
追问
是这么做的,但还是不能ping通路由;是不是要给每个vlan配置一个IP地址,但是这里是用二层的交换,给vlan配置IP地址不是只做管理地址的吗?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
