VLAN+路由器典型配置实例
虚拟局域网(VLAN)路由实例
虚拟局域网(VLAN)路由实例例一:设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。
在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。
以下加重下横线部分,如set system name 5500C为需设置的命令。
设置如下:Catalyst 5500配置:beginset password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70set prompt Console>set length 24 defaultset logout 20set banner motd ^C^C!#systemset system baud 9600set system modem disableset system name 5500Cset system locationset system contact!#ipset interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255 set interface sc0 upset interface sl0 0.0.0.0 0.0.0.0set interface sl0 upset arp agingtime 1200set ip redirect enableset ip unreachable enableset ip fragmentation enableset ip route 0.0.0.0 10.230.4.15 1set ip alias default 0.0.0.0!#Command alias!#vtpset vtp domain hneset vtp mode serverset vtp v2 disableset vtp pruning disableset vtp pruneeligible 2-1000clear vtp pruneeligible 1001-1005set vlan 1 name default type ethernet mtu 1500 said 100001 state activeset vlan 777 name rgw type ethernet mtu 1500 said 100777 state activeset vlan 888 name qbw type ethernet mtu 1500 said 100888 state activeset vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state activeset vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieeeset vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibmset vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7!#set boot commandset boot config-register 0x102set boot system flash bootflash:cat5000-sup3.4-3-1a.bin!#module 1 : 2-port 1000BaseLX Supervisorset module name 1set vlan 1 1/1-2set port enable 1/1-2!#module 2 : empty!#module 3 : 24-port 10/100BaseTX Ethernet set module name 3set module enable 3set vlan 1 3/1-22set vlan 777 3/23set vlan 888 3/24set trunk 3/1 on isl 1-1005#module 4 empty!#module 5 empty!#module 6 : 1-port Route Switchset module name 6set port level 6/1 normalset port trap 6/1 disableset port name 6/1set cdp enable 6/1set cdp interval 6/1 60set trunk 6/1 on isl 1-1005!#module 7 : 24-port 10/100BaseTX Ethernet set module name 7set module enable 7set vlan 1 7/1-22set vlan 888 7/23-24set trunk 7/1 on isl 1-1005set trunk 7/2 on isl 1-1005!#module 8 empty!#module 9 empty!#module 10 : 12-port 100BaseFX MM Ethernet set module name 10set module enable 10set vlan 1 10/1-12set port channel 10/1-4 offset port channel 10/5-8 offset port channel 10/9-12 offset port channel 10/1-2 onset port channel 10/3-4 onset port channel 10/5-6 onset port channel 10/7-8 onset port channel 10/9-10 onset port channel 10/11-12 on#module 11 empty!#module 12 empty!#module 13 empty!#switch port analyzer!set span 1 1/1 both inpkts disableset span disable!#camset cam agingtime 1-2,777,888,1003,1005 300 end5500C> (enable)WS-X5302路由模块设置:Router#wri tBuilding configuration...Current configuration:!version 11.2no service password-encryptionno service udp-small-serversno service tcp-small-servers!hostname Router!enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. !ip subnet-zero!interface Vlan1ip address 10.230.2.56 255.255.255.0!interface Vlan777ip address 10.230.3.56 255.255.255.0!interface Vlan888ip address 10.230.4.56 255.255.255.0!no ip classless!line con 0line aux 0line vty 0 4password routerlogin!endRouter#例二:交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640路由器实现虚拟网间路由。
H3C路由多vlan上网经典配置
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
#
domain system
access-limit disable
state active
int e0/0
ip add 60.2.3.2 255.255.255.252
route-stac 0.0.0.0 0.0.0.0 外网网关60.2.3.254
内网IP地址:192.168.100.1/24 这个内网口是与S3600互连的端口,比如说是e1/0端口:
int e0/1
ip add 192.168.100.1 24
配置:
一、路由器配置
version 5.20, Release 1205P02, Basic
#
给路由器命名
sysname HUAWE-ROUTE
#
domain default enable system
#
vlan 1
#
radius scheme system
server-type extended
配置回程路由:
ip route-static 192.168.10.0 255.255.0.0 192.168.100.2
试验:VLAN间路由
VLAN间路由1 实验目的:配置VLAN间路由。
2 网络拓扑3 试验环境:PC0在交换机Fa0/1端口连接。
PC1在交换机Fa0/2端口连接。
IP地址已经如图配置好。
路由器Fa0/0已经和交换机Fa0/10连接,交换机的Fa0/10处于VLAN 1中。
路由器Fa1/0已经和交换机Fa0/4连接,交换机的Fa0/4处于VLAN 2中。
4 试验要求配置路由器F0/0端口,使其使用Ip地址192.168.0.1 255.255.255.0配置路由器F1/0端口,使其使用Ip地址192.168.1.1 255.255.255.0将PC1的IP地址配制成192.168.1.2 255.255.255.0 网关设置成192.168.1.15 基本配置步骤5.1在PC1上因为不同的VLAN,要使用不同网段的IP地址。
5.2在Router0上Router>enRouter#confi tRouter(config)#int fastEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shRouter(config-if)#int f1/0Router(config-if)#ip addRouter(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no sh5.3在PC1上ping PC 0PC>ping 192.168.0.2Pinging 192.168.0.2 with 32 bytes of data:Request timed out.Reply from 192.168.0.2: bytes=32 time=16ms TTL=127 Reply from 192.168.0.2: bytes=32 time=16ms TTL=127 Reply from 192.168.0.2: bytes=32 time=17ms TTL=127 Ping statistics for 192.168.0.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 16ms, Maximum = 17ms, Average = 16ms PC>可以看到不同VLAN之间通信必须通过路由器才行。
实验4 配置VLAN间的路由
实验4 配置VLAN间的路由实验目的:掌握不同VLAN之间的路由配置方法(本实验所用交换机——Cisco2950,路由器——Cisco2611)实验环境:思科2950交换机一台,思科2611路由器一台,计算机6台,其中一台用做配置交换机(本实验称其为计算机d),其余做客户机,操作系统都选Windows 2000 Professional。
实验步骤:第一部分:准备工作1、用反转线连接计算机d的第一串口和交换机的Console口,用直连线将计算机a、b、c、e、f连接到交换机的1至24端口的任意端口,用直连线将路由器的f0/0与交换机的任意端口相连。
2、设置PC机的IP地址:计算机a设置为:192.168.1.10计算机b设置为:192.168.1.20计算机c设置为:192.168.2.30计算机e设置为:192.168.2.40计算机f设置为:192.168.2.503、运行超级终端:在计算机d上打开“开始\程序\附件\通讯\超级终端”1)双击“Hypertrm”图标,在弹出的对话框的名称栏输入名称,如:switch,选中自己喜爱的图标,单击“确定”,弹出“连接到图标”对话框。
2)在“连接时使用”框选择“直接连接到串口1”,单击“确定”,弹出“COM1属性”对话框。
3)每秒位数(即波特率)选9600,其余设置默认值即可,单击“确定”。
4)按回车即可对交换机进行配置。
5)当看到询问消息时回答“no”。
第二部分:配置本地VLAN1、创建VLANA、进入交换机的配置模式:命令为:enableB、进入交换机的VLAN配置模式:在 # 提示符下输入:vlan database交换机的vlan配置模式的提示符为:switch(vlan)#C、为了创建vlan,交换机必须设置为VTP Server模式:命令为:vtp serverD、创建两个vlan,vlan号分别为2、3:命令为:vlan vlan-id name vlan-name例如:创建vlan 2的命令为 vlan 2 name hr创建vlan 3的命令为 vlan 3 name fs2、查看交换机的vlan1)退出vlan配置:在switch(vlan)#提示符下输入EXIT2)查看交换机的vlan:命令为:show vlan3、将五台PC机所连端口分别划分到vlanA、进入端口配置模式:在switch#提示符下输入:configure terminalB、将计算机a和计算机b所连端口划分给vlan 2,将计算机c、e、f所连端口划分给vlan 3。
NA实验VLAN间路由配置实例
下面是实验拓扑图:
相关说明:VLAN中文叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
本次实验用于实现vlan间的路由。
实验过程:
I:配置个模拟主机PC-1 PC-2 PC-3的IP。
II:在交换机KC-S上创vlan.建
III:在交换机上将相应vlan接口上应用vl an.
IV:PC-1不能ping通PC-2或PC-3,但PC-2和PC-3可以互通,可见vlan将主机阻隔
V:将KC-S的f1/1设定为trunk模式
VI:在路由器KC-R上设置支持trunk通信,采用子接口模式。
VII:测试。
H3C路由器配置VLAN
H3C路由器配置VLANH3C路由器配置VLAN以前经常使用的VLAN设置,基本都是靠交换机来实现。
但随着路由器技术的发展,VLAN技术也被引入到路由器中。
一,路由器中实现VLAN益处1,在路由器上实现VLAN可以把一些原本需要上面组合的情况变成路由器、二层交换机搭配接入交换机的组合。
而一般二层交换机的价格是三层交换机的1/2 ~ 1/3,所以通过使用路由器VLAN可以节省整体采购成本。
2,H3C新一代宽带路由器ER系列能够全面支持VLAN特性,通过路由器可以轻松把局域网划成多个虚拟隔离区域,例如按照企业的不同部门进行划分,可以保证虚拟网络之前互相独立,以保证信息安全。
同时基于WEB的智能化管理界面,让管理员的手工操作更简单,这也有助于提升管理效率。
3,H3C ER系列路由器针对不同行业还作了定制的优化设计。
如,在酒店网络环境中,根据公安部82号令,要求酒店中每一个房间都必须划分VLAN,而且报文必须携带VLAN号以进行上网监控。
管理员需要对每间客房、办公区都单独划分VLAN,来保证信息安全与可控。
如果管理员分别去配置每一个房间的VLAN,工作量将非常大。
H3C ER5100是ER系列中专门针对酒店业务的路由器,配套有专用酒店网络管理软件。
在此软件中,管理员只需要输入地址池和VLAN范围,ER 5100便会自动为房间分配网络地址和VLAN,而不需要手工一一输入,这也大大减少了管理维护的工作量。
H3C ER系列路由器的VLAN特性,非常适用于酒店、企业、网吧等场所。
既可帮您节省成本又可助您提升工作效率。
二,下面看一个有关H3C路由器配置VLAN的例子H3C华为路由器qos car+nat+dhcp+vlan配置一个小型办公网络,有两家公司(A、B)在一个写字楼办公,共申请一条4M独享VDSL专线(其中A是缴3M 的专线费用,B是缴1M的专线费用),共60台电脑左右,各30台电脑,各三台非网管24口D-LINK交换机,一台华为1821路由器(1wan口,4lan口)。
VLAN间路由的配置
VLAN间路由的配置举例:完成VLAN10、VLAN20、VLAN30三个VLAN之间的通信一、利用路由器实现VLAN间的路由1、路由器配置创建第一个子端口:对应VLAN10R1(config)# interface FastEthernet0/0.1 //建立子端口R1(config-subif)# encapsulation dot1Q 10 //封装所属的VLAN R1(config-subif)# ip address 192.168.10.100 255.255.255.0 //配置所属VLAN的IP地址创建第二个子端口:对应VLAN20R1(config)# interface FastEthernet0/0.2R1(config-subif)# encapsulation dot1Q 20R1(config-subif)# ip address 192.168.20.100 255.255.255.0创建第三个子端口:对应VLAN30R1(config)# interface FastEthernet0/0.3R1(config-subif)# encapsulation dot1Q 30R1(config-subif)# ip address 192.168.30.100 255.255.255.0打开物理端口,使所有逻辑子端口成为UP状态R1(config)# interface FastEthernet0/0R1(config-if)# no shuodown2、二层交换机的配置与路由器相连接的二层交换机的端口必须设置为TRUNK端口。
Switch(Config)# Int f0/5Switch(Config-if)# Switchport mode trunk3、终端PC的配置每一台终端PC都要将网关设置为:属于本VLAN的路由器子接口的IP地址。
二、利用三层交换机实现VLAN间路由1、三层交换机的配置创建相应的VLANSwitch(Config)#vlan 10Switch(Config)#vlan 20Switch(Config)#vlan 30创建VLAN接口并设置IP地址;Switch(Config)#interface vlan 10Switch(Config-If-Vlan10)#ip address 192.168.10.100 255.255.255.0Switch(Config)#interface vlan 20Switch(Config-If-Vlan20)#ip address 192.168.20.100 255.255.255.0Switch(Config)#interface vlan 30Switch(Config-If-Vlan30)#ip address 192.168.30.100 255.255.255.0设置TRUNK端口与二层交换机相连接的三层交换机的端口必须设置为TRUNK端口。
路由器单臂路由配置实例和VLAN的DHCP
rule 23 deny tcp destination-port eq 9995
rule 24 deny udp destination-port eq 9995
rule 25 deny tcp destination-port eq 1068
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
===============================================================
rule 0 permit source 192.168.0.0 0.0.255.255
rule 1 deny
#
acl number 3000
rule 0 deny udp destination-port eq tftp
rule 1 deny tcp destination-port eq 135
[AR28-31]dis cu
#
sysname Quidway
#
FTP server enable
#
nat address-group 0 222.222.222.2 222.222.222.10 用于上公网的地址池
#
radius scheme system
#
domain system
port access vlan 10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网,其实这是个比较简单,也比较典型的配置。
网上也很容易找到,但都不系统很零散。
这里针对几种常见的情况,分别做了配置:1、拓扑结构图:1)本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能,SW2为华为 2403H-EI二层交换机。
2)图模拟了常见的拓扑结构。
也没有用到任何厂商特性,因此也适用于其他厂商的设备,只是命令行有所不同。
2、基础配置:ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。
ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA,也即分配地址池给 RA。
RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池,也即ISP分配的地址段。
(如果外网接口类型为广播,则最好把这些地址配置给LOOPBACK接口,否则可能不同,但此例是点对点接口,无此问题)acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T,采用先前配置的地址池。
ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 配置默认路由SW1:gvrp #启用GVRP 注册协议,用于动态创建SW2的VLAN,实现VLAN 的集中管理。
vlan 2 #创建各VLANvlan 3vlan 24#因为S3526 不支持被路由接口,因此将E0/24 划到VLAN24,给VLAN24 配置虚接口IP用于路由。
(cisco 则可以在e0/24接口用no switchport 配置为被路由接口,直接配置IP即可)interface Vlan-interface2 #配置VLAN 虚接口IPip address 172.16.0.254 255.255.255.0interface Vlan-interface3 配置VLAN 虚接口IPip address 172.16.1.254 255.255.255.0interface Vlan-interface24 配置VLAN 虚接口IPip address 10.0.0.2 255.255.255.252interface Ethernet0/1 #划分接口到VLANport access vlan 2interface Ethernet0/10 #配置和SW2 互联的E0/10接口为Trunk 接口,并启用GVRP协议。
port link-type trunkport trunk permit vlan 2 to 3gvrp registration fixedgvrpinterface Ethernet0/24 #划分接口到VLANport access vlan 24SW2:gvrp#启用GVRP 协议,接收SW1 配置的VLANinterface Ethernet0/1 #给VLAN划接口port access vlan 3interface Ethernet0/10 #配置和SW1 相连的Trunk口,并启用GVRPport link-type trunkport trunk permit vlan 1 to 3gvrp3、3层交换+VLAN+路由器+静态路由:1)此例为内网采用静态路由配置,也是常见并推荐采用的配置。
RA:ip route-static 172.16.0.0 255.255.255.0 10.0.0.2 preference 60 #这2句指向内网2个VLAN网段即是回指路由。
ip route-static 172.16.1.0 255.255.255.0 10.0.0.2 preference 60SW1:ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 #配置静态缺省路由,指向RA.4、3 层交换+VLAN+路由器+动态路由(RIP V2):1)此例为动态路由配置,考虑到子网划分,采用RIP V2 路由协议。
不过针对于如此简单的拓扑,不推荐用动态路由协议。
从下例可以看到,其实对于一个简单的网络。
动态路由协议比静态路由更麻烦。
RA:interface Ethernet0/0rip version 2 multicast #配置RIP版本2interface Serial0/0undo rip output #这2 句是配置S0/0 为RIP被动接口。
undo rip inputrip #配置RIP协议import-route static cost 2 #重发布静态路由0.0.0.0 给SW1,让SW1 知道缺省出口。
network 10.0.0.0SW1:interface Vlan-interface24rip version 2 multicast #配置RIP 版本2rip#RIP 配置undo summary #关闭自动汇总,这样RA就能够知道网络172.16.0.0 的具体子网了。
network 10.0.0.0network 172.16.0.05、单臂路由配置:1)此例用于不支持3 层交换的2 层交换机使用。
由于路由器的转发速率大大低于3 层交换机的转发速率,因此如果有 3 层交换机,尽量不要采用此配置。
RA:interface e0/0undo ip address #此时E0/0 接口原来的10.0.0.0/30 段的IP已经无用了,可以去掉了。
interface Ethernet0/0.2#配置VLAN2 的子接口ip address 172.16.0.254 255.255.255.0vlan-type dot1q vid 2#interface Ethernet0/0.3#配置VLAN3 的子接口ip address 172.16.1.254 255.255.255.0vlan-type dot1q vid 3acl number 2000undo rule 2 #此时ACL 2000的rule 2也没用了,可以去掉了。
quitSW1:undo vlan 24 #此时的VLAN24 已经没用了,去掉它。
interface Ethernet0/24 #配置E0/24 口为Trunk口,此口用于连接RA,做单臂路由。
port link-type trunkport trunk permit vlan 2 to 36、补充配置:1)对于控制系统的安全,以及其他配置等,请参考其他资料。
尽量建议在路由器上配置。
交换机配置过多的ACL是要影响转发性能的。
2)如果PC 间无需通信,可以考虑配置PVLAN 来进行隔了。
这样可以有效的控制病毒的传播。
PVLANPVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。
尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN (Secondary VLAN)。
辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
①混杂端口(Promiscuous Port)②主机端口(Host Port)其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。
因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。
那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
pVLAN通信范围:primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
community VLAN:可以同那些处于相同community VLAN内的community port 通信,也可以与pVLAN中的promiscuous端口通信。
(每个pVLAN可以有多个community VLAN)isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。
(每个pVLAN中只能有一个isolated VLAN)pVLAN当中使用的一些规则:1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。