博客

让其他vlan 都能访问一个vlan_白工程师也能完成的企业组网

  • Post author:
  • Post category:其他


具体要求如图:

1、制造部、设备部VLAN实现互访,禁止访问其它部门VLAN;

2、制造部、设备部上班时间禁止访问Internet(8:00-12:00;2:00-6:00)

3、研发中心、质保部VLAN实现互访,禁止访问其它部门VLAN;

4、财务部VLAN实现与采购部、销售部VLAN的单向访问;

6、总经办VLAN实现与财务部、管理部VLAN的单向访问;

6、管理部VLAN禁止访问其他部门VLAN;

7、各部门VLAN都能访问服务器区

0f1493cfbf0cd50bf3a9283124287beb.png


1 、Vlan 信息

Vlan ID

网络地址

名 称

描 述

1

192.168.10.0/24

本地 vlan

2

192.168.20.0/24

yfzx

研发中心

3

192.168.30.0/24

zbb

质保部

4

192.168.40.0/24

zzb

制造部

5

192.168.50.0/24

sbb

设备部

6

192.168.60.0/24

cgb

采购部

7

192.168.70.0/24

xsb

销售部

8

192.168.80.0/24

cwb

财务部

9

192.168.90.0/24

glb

管理部

10

192.168.100.0/24

zjb

总经办


2、VTP信息

设备名称

Domain Prunning

Password

Mode

3550-S-1

benet Enable

123

Server

2950-S-1 benet

Enable

123 Client

2950-S-2 benet

Enable

123 Client

2950-S-3 benet

Enable

123 Client

2950-S-4 benet

Enable

123 Client


3、设备IP地址分配

设备名称

接口

IP 地址

描述

2600-R-1

F0/0

221.215.31.129/29

WAN

F0/1

192.168.1.1/24

3550-S-1

F0/1

192.168.1.1/24

3L-Switch


交换机、路由器详细配置


1、IP地址设置

2600-R-1 (config )# int F0/0

2600-R-1 (config-if) #ip add 221.215.31.129 255.255.255.0

2600-R-1 (config-if) #no shutdown

———————————-

2600-R-1 (config-if )# int F0/1

2600-R-1 (config-if) #ip add 192.168.1.1 255.255.255.0

2600-R-1 (config-if) #no shutdown

3550-S-1 (config) # int F0/1

3550-S-1 (config-if) # no switchport ⋯⋯⋯.


路由端口

3550-S-1 (config-if) # ip add 192.168.1.2 255.255.255.0

3550-S-1 (config) # int vlan 1 ⋯⋯⋯⋯⋯ ..


管理vlan

3550-S-1(config-if) # ip add 192.168.10.1 255.255.255.0

3550-S-1 (config-if) # int vlan 2 ⋯⋯⋯⋯⋯


研发中心

3550-S-1(config-if) # ip add 192.168.20.1 255.255.255.0

3550-S-1 (config-if) # int vlan 3 ⋯⋯⋯⋯⋯


质保部

3550-S-1(config-if) # ip add 192.168.30.1 255.255.255.0

3550-S-1 (config-if) # int vlan 4 ⋯⋯⋯⋯⋯


制造部

3550-S-1(config-if) # ip add 192.168.40.1 255.255.255.0

3550-S-1 (config-if) # int vlan 5 ⋯⋯⋯⋯⋯


设备部

3550-S-1(config-if) # ip add 192.168.50.1 255.255.255.0

3550-S-1 (config-if) # int vlan 6 ⋯⋯⋯⋯⋯


采购部

3550-S-1(config-if) # ip add 192.168.60.1 255.255.255.0

3550-S-1 (config-if) # int vlan 7 ⋯⋯⋯⋯⋯


销售部

3550-S-1(config-if) # ip add 192.168.70.1 255.255.255.0

3550-S-1 (config-if) # int vlan 8 ⋯⋯⋯⋯⋯


财务部

3550-S-1(config-if) # ip add 192.168.80.1 255.255.255.0

3550-S-1 (config-if) # int vlan 9 ⋯⋯⋯⋯⋯


管理部

3550-S-1(config-if) # ip add 192.168.90.1 255.255.255.0

3550-S-1 (config-if) # int vlan 100 ⋯⋯⋯⋯


总经办

3550-S-1 (config-if) # ip add 192.168.100.1 255.255.255.0


2、VTP 配置

3550-S-1(config)# vlan database

3550-S-1 (vlan) # vtp domain benet

3550-S-1 (vlan) # vtp server

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning :

修剪

3550-S-1 (vlan) # vlan 2 name yfzx:

研发中心

3550-S-1 (vlan) # vlan 3 name zbb:

质保部

3550-S-1 (vlan) # vlan 4 name zzb:

制造部

3550-S-1 (vlan) # vlan 5 name sbb:

设备部

3550-S-1 (vlan) # vlan 6 name cgb:

采购部

3550-S-1 (vlan) # vlan 7 name xsb:

销售部

3550-S-1 (vlan) # vlan 8 name cwb:

财务部

3550-S-1 (vlan) # vlan 9 name xsb:

管理部

———————————————————–

2950-S-1 (vlan) #vtp domain benet

2950-S-1 (vlan) #vtp tran ⋯⋯⋯⋯⋯⋯⋯


透明模式 ( 配置修改编号清零 )

2950-S-1 (vlan) #vtp client 客户模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain benet

2950-S-2 (vlan) #vtp tran ⋯⋯⋯⋯⋯⋯⋯


透明模式 ( 配置修改编号清零 )

2950-S-2 (vlan) #vtp client 客户模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain benet

2950-S-3 (vlan) #vtp tran ⋯⋯⋯⋯⋯⋯⋯


透明模式 ( 配置修改编号清零 )

2950-S-3 (vlan) #vtp client 客户模式

2950-S-3 (vlan) #vtp password 123

2950-S-4 (vlan) #vtp domain benet

2950-S-4 (vlan) #vtp tran ⋯⋯⋯⋯⋯⋯⋯


透明模式 ( 配置修改编号清零 )

2950-S-4 (vlan) #vtp client 客户模式

2950-S-4 (vlan) #vtp password 123


3.路由配置

2600-R-1 (config)# ip route 0.0.0.0 0.0.0.0 f0/2:缺省路由

2600-R-1 (config )# ip route 192.168.0.0 255.255.0.0 192.168.1.2

3550- R -1 (config) # ip route 0.0.0.0 0.0.0.0 192.168.1.1


4.NAT

2600-R-1(config )# access-list 101 permit ip 192.168.0.0

0.0.255.255 192.168.0.0

0.0.255.255:

内部局部地址

2600-R-1 (config )# ip nat pool WAN 221.215.31.131

221.215.31.134 prefix-len 29 :

定义合法 IP 地址池

2600-R-1 (config )# ip nat inside sour list 101 pool WAN:

实现地址转换

2600-R-1 (config )# int f0/1

2600-R-1 (config-if )# ip nat inside:

定义 NAT inside

2600-R-1(config )# int f0/0

2600-R-1(config-if )# ip nat outside:

定义NAT outside 端口


5.Vlan 流量控制


制造部、设备部vlan实现互访,禁止访问其它部门 vlan

3550-S-1(config) # time-range restrict


制造部、设备部上班时间禁止访问 internet(8:00-12:00 2:00-6:00)

3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00:设置时间范围


研发中心、质保部vlan实现互访,禁止访问其它部门vlan

3550-S-1 (config) # ip access-list extend yfzx:研发中心 ACL


财务部 vlan 实现与采购部、销售部 vlan 的单向访问

3550-S-1 (config-ext-nacl) # permit ip any 192.168.20.0

0.0.0.255


总经办vlan实现与财务部、管理部vlan的单向访问

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:访问服务器区


管理部vlan禁止访问其它部门 vlan

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255:禁止访问其它部门


各部门 vlan 都能访问服务器区

3550-S-1 (config-ext-nacl) # permit ip any any

3550-S-1 (config) # ip access-list extend zbb:

质保部ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.10.0

0.0.0.255:

访问研发中心

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255:

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

3550-S-1 (config) # ip access-list extend zzb:

制造部 ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.40.0

0.0.0.255:

访问设备部

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 :

访问服务器区

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255:

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict:

上班时间禁止上网

3550-S-1 (config) # ip access-list extend sbb:

设备部 ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.30.0 0.0.0.255 :

访问制造部

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1(config-ext-nacl)#deny ip any 192.168.0.0 0.0.255.255:

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

—————————————————————–

3550-S-1 (config) # ip access-list extend cgb:

采购部ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-cgb:

计算匹配自反ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255

3550-S-1 (config-ext-nacl) #permit ip any any

—————————————————————–

3550-S-1 (config) # ip access-list extend xsb:

销售部ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-xsb:

计算匹配自反ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255

3550-S-1 (config-ext-nacl) #permit ip any any

—————————————————————–

3550-S-1 (config) # ip access-list extend cwb:

财务部ACL

3550-S-1(config-ext-nacl) # permint ip any 192.168.60.0

0.0.0.255 reflect cwb-cgb:

创建自反ACL cwb-cgb

3550-S-1 (config-ext-nacl)# permint ip any 192.168.70.0

0.0.0.255 reflect cwb-xsb:

创建自反 ACL cwb-xsb

3550-S-1 (config-ext-nacl) # evaluate zjb-cwb:

计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 :

访问服务器区

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255:

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

—————————————————————–

3550-S-1 (config) # ip access-list extend cwb:

管理部ACL

3550-S-1 (config-ext-nacl) # evaluate zjb-glb:

计算匹配自反ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255:

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

—————————————————————–

3550-S-1 (config) # ip access-list extend zjb:

总经办ACL

3550-S-1(config-ext-nacl) # permint ip any 192.168.80.0

0.0.0.255 reflect zjb-cwb:

创建自反 ACL zjb-cwb

3550-S-1(config-ext-nacl) # permint ip any 192.168.90.0

0.0.0.255 reflect zjb-glb:

创建自反 ACL zjb-glb

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 :

访问服务器区

3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 :

禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

ACL 应用:

3550-S-1 (config) # int vlan 2:

研发中心

3550-S-1 (config-if) #ip access-group yfzx in

3550-S-1 (config) # int vlan 3:

质保部..

3550-S-1 (config-if) #ip access-group zbb in

3550-S-1 (config) # int vlan 4:

制造部

3550-S-1 (config-if) #ip access-group zzb in

⋯( 略)

附:关键字 established 的 ACL 应用 ( 单向访问 )

3550-S-1 (config) # ip access-list extend cgb:

采购部ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.80.0 0.0.0.0.255

estab

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:

访问服务器区

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255

3550-S-1 (config-ext-nacl) #permit ip any any

3550-S-1 (config) # ip access-list extend xsb:

销售部 ACL

3550-S-1 (config-ext-nacl) # permit ip any 192.168.80.0 0.0.0.0.255

estab

3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255:访问服务器区

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255

3550-S-1 (config-ext-nacl) #permit ip any any