2009年1月3日星期六

在运行Cisco IOS Software的交换机上配置VLAN(二)

一、两个层二VLAN之间的隔离
层二VLAN是指在交换机上创建了VLAN而且没有使用interface vlan vlan_number进行配置的VLAN。在两个不同的层二VLAN中的主机,彼此不能通信。
创建一个层二VLAN,并且将它与以前的层二VLAN进行隔离:
1、在数据库中创建新的VLAN:
switch#vlan database
switch(vlan)#vlan 5
switch(vlan)#vlan 6
switch(vlan)#exit
2、确定新的VLAN已经创建到数据库中,并且在show vlan命令的输出中能够看到。
3、不要给新创建的VLAN设置IP。
4、将连接有主机的物理端口添加到VLAN中:
switch(config)#interface fastethernet 2/1
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 5
switch(config-if)#no shutdown

switch(config)#interface fastethernet 2/2
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 6
switch(config-if)#no shut
5、给每个主机配置一个静态IP地址、子网掩码但是不要设置默认网关。这样,连接到两个端口上的主机相互之间不能通信。属于同一VLAN的设备只能与本VLAN的主机进行通信。

二、两个层三VLAN之间的隔离
当我们创建了一个VLAN,并且使用interface vlan vlan_number命令将其配置了IP地址以后,这个VLAN变成了一个层三VLAN。在层三交换机上,如果主机将所在VLAN端口IP地址配置成自己的默认网关,那么处于两个VLAN的主机之间能够互相通信。此时,我们只能使用ACL来对其进行隔离。
例如:有两个VLAN,VLAN4:192.168.1.0/24;VLAN5:192.168.2.0/24
访问控制列表:
access-list 104 deny 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 permit any any
access-list 105 deny 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 105 permit any any
然后将访问控制列表应用到SVI上。
interface vlan 4:
ip access-group 104 in
interface vlan 5:
ip access-group 105 in
注:这里判断是in还是out的时候要注意,SVI类似于交换机上的物理端口,因此in是指进入交换机;out是指出交换机
注:大多数Catalyst交换机只支持为每个数据包进行四次ACL查找:入站和出站安全ACL以及入站和出站QoS ACL。Cisco层三交换机能够识别三种ACL:
1、RACL(Router Access Control List,路由器访问控制列表)--RACL是应用于路由器型接口的Cisco IOS标准ACL,只有在跨VLAN路由时才会起作用
2、VACL(VLAN Access Control List,VLAN访问控制列表)--VACL又称为VLAN访问映射表,应用于VLAN中的所有通信流量。VACL支持基于Ethertype和MAC地址的过滤。与基于Cisco IOS的路由映射表一样,要注意VACL中条目的顺序
3、QoS访问控制列表-- QoS ACL指定了QoS分类、标记、控制(policing)和调度将应用于哪些数据报
4、PACL(Port Access Control List,端口访问控制列表)--通过在第二层应用PACL,将能够控制进出端口的流量

三、在Catalyst 6500系列交换机上配置扩展VLAN
为了在运行Cisco IOS的Catalyst 6500系列交换机上配置扩展VLAN,我们需要输入spanning-tree extend system-id命令。此外,扩展VLAN必须从全局配置模式创建,而不能通过vlan database模式创建。
1、console进交换机
2、进入配置模式
3、输入spanning-tree extend system-id命令,在全局配置模式下
4、输入vtp mode transparent命令,在全局配置模式下
5、创建扩展VLAN
6、退出配置模式
7、使用show vlan命令,来检查VLAN配置信息
发帖者 时间:
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)