VLAN的劃分以及ACL的使用實踐案例分析

2020-10-24 11:26:09

字體：大中小

來源：轉載

供稿：網友

需求：
某公司以前沒有劃分VLAN，用的一臺Cisco 2918二層交換機，但是他們沒有做任何配置，現在由于他們的有一部分計算機（192.168.1.0/24）配置比較差，當交換機發送一個廣播包的時候就導致部分計算機假死機狀態，于是他們買了一臺Cisco 3560三層交換機想把192.168.1.0/24這個網段與其他網段（10.1.1.0/24，10.1.2.0/24）的廣播包進行分離開來。
以下是對VLAN劃分的一些要求：
1、要實現在SW1上面192.168.1.0/24這個網段能夠正常訪問10.1.1.0/24與10.1.2.0/24這兩個網段。
2、 10.1.1.0/24與10.1.2.0/24這兩個網段要能夠正常訪問SW2以外的網絡。（也就是說10.1.1.0/24與10.1.2.0/24這兩個網段的默認網關還得是10.1.1.1/24或者10.1.2.1/24才行。因為很多詳細路由在SW2上面才有。）
3、不能讓SW1以外的計算機訪問SW1中192.168.1.0/24這個網段。
4、 SW2內的計算機能夠訪問SW1的服務器以及10.1.1.0/24與10.1.2.0/24這兩個網段的計算機。
5、 SW1中只允許10.1.1.2/24與10.1.2.2/24這兩臺PC能夠訪問192.168.1.0/24的網段。

拓撲圖如下：

需求分析：
以前網絡的分析：
從總部出來給了一根光纖過來，而這根光纖接入到總部交換機的VLAN20中。VLAN20的SVI地址是10.1.1.1/24，10.1.2.1/24這兩個，在原使情況下10.1.1.0/24與10.1.2.0/24這兩個網段要訪問192.168.1.0/24的計算機，他們以前的解決方案是在192.168.1.0/24這個網段配置雙IP地址，也就是說再給他們配置一個10.1.1.0/24或者10.1.2.0/24。10.1.1.0/24或者10.1.2.0/24這兩個網段要訪問總部以外的網段網關必須指定10.1.1.1/24，10.1.2.1/24。

現在的需求分析：

從上面我們已經知道他們最主要想利用VLAN來隔離我們的廣播域，但需要讓我們SW1上的192.168.1.0/24與SW1上的10.1.1.2/24與10.1.2.2/24能夠正常訪問，還不能影響SW1上面的10.1.1.0/24與10.1.2.0/24訪問SW2以及SW2以外的網絡。

從上面的需要我們來分析一下，要隔離廣播域我們都知道使用交換機上面的VLAN，這個很好解決，但是劃了VLAN以后，要使不同VLAN間進行互相訪問我們就必須給這個VLAN的SVI地址設置一個IP。當我們PC上面將網關設置成為自己所在VLAN下面的SVI地址，這樣在開啟三層交換機的路由功能就能夠互相訪問了，但是在這里我們又遇見一個問題？那就是從SW2過來的光纖給了兩個IP地址給我們10.1.1.1/24，10.1.2.1/24。而在SW1上面的10網段中的計算機要訪問外面的網絡就必須將這兩個地址設置成網關才行。這很明顯它是一個二層的接口，也就是說在SW2上面劃分了一個VLAN，而這根光纖就接在該VLAN下面的，而該VLAN的SIV地址就是10.1.1.1/24，10.1.2.1/24。而我們現在只能利用SW1來進行做配置，SW2在總部我們動不到。我們現在能動的也就只有SW1上面。

現在我想的辦法就是，在SW1上面劃分兩個VLAN，VLAN20用于接192.168.1.0/24這個網段，VLAN30用于接10.1.1.0/24與10.1.2.0/24。VLAN20的SVI地址192.168.1.254/24，而在VLAN30我們給它的SVI地址設置兩個IP，10.1.1.254/25與10.1.2.254/24。這樣它們兩個VLAN間通過這個SVI地址就可以互相進行通信了。

但是SW1中兩個VLAN可以進行通信，現在又出現一個新的問題，我們以前10網段的PC，IP地址必須設置成10.1.1.1/25與10.1.2.1/24才能訪問SW2以及它以外的網絡，現在我們將它的網關設置成10.1.1.254/25與10.1.2.254/24以后，就不能訪問SW2以外絡，后面我想了一個辦法就是10網段的PC的網關還是設置它以前的（10.1.1.1/24，10.1.2.1/2），而在要訪問192.168.1.0/24這個網段的PC，在PC上的“命令提示符”下面加一條軟路由，
> route add 192.168.1.0 mask 255.255.255.0 10.1.1.254
destination^ ^mask ^gateway

這樣當我們10網段的PC去往192.168.1.0這個網段的時候走10.1.1.254/24這個網關，而默認走10.1.1.1/24出來，這樣就達到我們預期的目的了，但是沒有加軟件的計算機就不能夠訪問我們的192.168.1.0的網段了。

然后他們還要限制某幾臺10網段中的PC去訪問192.168.1.0/24的網絡，前面我們提到在PC上面添加軟路由就可以訪問我們的192.168.1.0/24的網絡，那有的人就會想我不讓他們訪問的就不加嘛，那某些人他就想要來訪問我們192.168.1.0/24的網絡的時候，自己添加一條不就能夠訪問了，于是我使用了ACL來對他們做一個限制。只允許固定10網段中的幾臺PC可以訪問192.168.1.0/24，其他10網段中的計算機即使添加了軟路由還是不能夠訪問，這樣就達到了我們的效果了。

以下是配置文檔：