看清我的问题。外网网线进来连到路由器上,从路由器出来192.168.1.1,再连到三层交换机的vlan1上面e0/0/0口上面,这个三层交换机上面划分了4个vlan,vlan1仅属于端口e0/0/0,vlan2属于e0/0/1到e0/0/3,
vlan3属于e0/0/4到e0/0/6,vlan4属于e/0/07到e0/0/9。vlan2到vlan4所在端口下面分别连一些二层交换机,然后二层交换机套二层交换机,每个vlan地址都是不同网段的,vlan2是192.168.2.1~类推。如果内网用户要上网,vlan2到vlan4都要与vlan1通信,那这段三层交换机内部vlan通信该怎么打命令?web界面在哪配置?新手勿喷,顺便帮我看看我写的这个简单的组网思路对不对?
最好用H3C或者华为命令,思科的也行~
路由器的缺省路由是外网,做好nat。在路由器上做好vlan 2,3,4网段的路由到三层交换机vlan1 接口的IP:ip route 192.168.0.0 255.255.0.0 vlan1接口IP
交换机上缺省路由到路由器:ip route 0.0.0.0 0.0.0.0 192.168.1.1
交换机上启动路由功能:ip routing
这样vlan 2,3,4就可以通过vlan 1至路由器上网。要vlan 2,3,4不能互访,在三层交换机vlan 2,3,4接口out方向上都应用ip访问列表,列表的内容是不允许其他两个网段IP的源ip,允许其他源ip。
你的最后一句话在三层交换机的web界面应该也能找到吧。麻烦您看下楼下的那位朋友的回答,他那种单臂路由是否对我的问题可行呢?他的第一种方法会将所有vlan打通。
像一些企业公司等办公楼,一般采用哪种方式?是不是我这种方式呢?
想偷懒一下也不行。你要建三个访问列表:
A,应用于vlan 2接口的:access-list 2 deny 192.168.3.0 0.0.0.255
access-list 2 deny 192.168.4.0 0.0.0.255
access-list 2 permit any
B。应用于vlan 3接口的:access-list 2 deny 192.168.2.0 0.0.0.255
access-list 2 deny 192.168.4.0 0.0.0.255
access-list 2 permit any
c。应用于vlan 4接口的:access-list 2 deny 192.168.3.0 0.0.0.255
access-list 2 deny 192.168.2.0 0.0.0.255
access-list 2 permit any
在web界面上有没有你看看就知道。
无论用第一种或者一二种道理一样,第一种无需设置回程路由,因为网关都在路由器接口上,你将三层交换机当成2层交换机用。各个网段不能互访都需要做访问列表。
我只是要求vlan2、3、4能与vlan1通信,但是vlan2、3、4他们之间不能通信的,否则就失去了划分vlan的意义了