思科路由器&交換機多VLAN公司組網實例

需求

1. 某公司有三個部門，要使三個部門可以訪問互聯網，但各個部門之間不能相互訪問。

2. 內網有一台伺服器，所有人都要能訪問到，而且要對內外提供HTTP、DNS服務。

3. 三個部門的機器均使用動態IP上網，伺服器使用靜態IP上網。

4. ISP提供靜態IP接入，只提供一個外網IP，IP地址1.1.1.1，子網掩碼255.255.255.0，網關：1.1.1.254（瞎編的）。

方案設計

1. 1841作為網關，提供路由、NAT、DHCP等服務，設置ACL限制VLAN間互訪。

2. 2960作為二層交換機，劃分VLAN。

網路拓撲圖

交換機埠、VLAN劃分

• 部門一 FE0/1-8: 綁定VLAN10

• 部門二 FE0/9-16:綁定VLAN20

• 部門三 FE0/17-24:綁定VLAN30

• 幹路 GE0/1: 連接路由器的FE0/1口，TRUNK 允許 VLAN10 20 30 100通過

• 伺服器 GE0/1: 綁定VLAN100

路由器埠、網段、IP劃分

• FE0/0:WAN介面、IP為1.1.1.1

• FE0/1：連接交換機的GE0/1口，下面劃分多個子介面，自身不設置IP地址，

• FE0/1.1:綁定VLAN10，IP為192.168.1.1/24

• FE0/1.2:綁定VLAN20，IP為192.168.2.1/24

• FE0/1.3:綁定VLAN30，IP為192.168.3.1/24

• FE0/1.4:綁定VLAN100，IP為192.168.100.1/24

以下為完整設置命令，有詳細注釋，設備均已恢復出廠設置

交換機配置

進入特權模式

Switch>enable

進入配置模式

Switch#configure terminal

設置部門一VLAN10

Switch(config)#interface range FastEthernet 0/1-8 %埠組FE0/1-8Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 10 %設置埠為access模式，綁定vlan10Switch(config-if-range)#exit

設置部門二VLAN20

Switch(config)#interface range FastEthernet 0/9-16 %埠組FE0/9-16Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 20 %設置埠為access模式，綁定vlan20Switch(config-if-range)#exit

設置部門三VLAN30

Switch(config)#interface range FastEthernet 0/17-24 %埠組FE0/17-24Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 30 %設置埠為access模式，綁定vlan30Switch(config-if-range)#exit

設置伺服器VLAN100

Switch(config)#interface range GigabitEthernet 0/2Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 100 %設置埠為access模式，綁定vlan100Switch(config-if-range)#exit

設置匯聚口

Switch(config)#interface GigabitEthernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 10,20,30,100 %設置埠為trunk模式，允許 VLAN10 20 30 100通過Switch(config-if)#exit

設置生成樹快速轉發

Switch(config)#spanning-tree portfast default %珍惜寶貴的時間

退出&保存設置

Switch(config)#exitSwitch#write

路由器配置

進入特權模式

Router>enable

進入配置模式

Router#configure terminal

設置部門一VLAN10 ACL規則1，僅禁止訪問其他兩個網段

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255Router(config)#access-list 1 permit any

設置部門二VLAN20 ACL規則2，僅禁止訪問其他兩個網段

Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255Router(config)#access-list 2 permit any

設置部門三VLAN30 ACL規則3，僅禁止訪問其他兩個網段

Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255Router(config)#access-list 3 permit any

設置伺服器VLAN100 ACL規則4，允許訪問任何網路

Router(config)#access-list 4 permit any

設置NAT ACL規則5，僅允許四個內網網段進行NAT

Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255Router(config)#access-list 5 deny any

設置WAN介面

Router(config)#interface FastEthernet 0/0Router(config-if)#no shutdownRouter(config-if)#ip address 1.1.1.1 255.255.255.0Router(config-if)#ip nat outside %設置為NAT外部介面Router(config-if)#exit

設置LAN介面

Router(config)#interface FastEthernet 0/1Router(config-if)#no shutdown %物理介面只需開啟即可，不用設置IP地址Router(config-if)#exit

設置部門一VLAN10子介面

Router(config)#interface FastEthernet 0/1.1Router(config-subif)#encapsulation dot1Q 10 %用802.1Q封裝數據幀，以便兼容交換機Router(config-subif)#ip address 192.168.1.1 255.255.255.0Router(config-subif)#ip access-group 1 in %入口流量應用ACL規則1Router(config-subif)#ip access-group 1 out %出口流量應用ACL規則1Router(config-subif)#ip nat inside %設置為NAT內部介面Router(config-subif)#exit

設置部門二VLAN20子介面

Router(config)#interface FastEthernet 0/1.2Router(config-subif)#encapsulation dot1Q 20 %用802.1Q封裝數據幀，以便兼容交換機Router(config-subif)#ip address 192.168.2.1 255.255.255.0Router(config-subif)#ip access-group 2 in %入口流量應用ACL規則2Router(config-subif)#ip access-group 2 out %出口流量應用ACL規則2Router(config-subif)#ip nat insideRouter(config-subif)#exit

設置部門三VLAN30子介面

Router(config)#interface FastEthernet 0/1.3Router(config-subif)#encapsulation dot1Q 30 %用802.1Q封裝數據幀，以便兼容交換機Router(config-subif)#ip address 192.168.3.1 255.255.255.0Router(config-subif)#ip access-group 3 in %入口流量應用ACL規則3Router(config-subif)#ip access-group 3 out %出口流量應用ACL規則3Router(config-subif)#ip nat inside %設置為NAT內部介面Router(config-subif)#exit

設置伺服器VLAN100子介面

Router(config)#interface FastEthernet 0/1.4Router(config-subif)#encapsulation dot1Q 100 %用802.1Q封裝數據幀，以便兼容交換機Router(config-subif)#ip address 192.168.100.1 255.255.255.0Router(config-subif)#ip access-group 4 in %入口流量應用ACL規則4Router(config-subif)#ip access-group 4 out %出口流量應用ACL規則4Router(config-subif)#ip nat inside %設置為NAT內部介面Router(config-subif)#exit

設置DHCP排除地址（這裡只設置路由器本身IP）

Router(config)#ip dhcp excluded-address 192.168.1.1Router(config)#ip dhcp excluded-address 192.168.2.1Router(config)#ip dhcp excluded-address 192.168.3.1

設置VLAN10 DHCP伺服器

Router(config)#ip dhcp pool vlan10Router(dhcp-config)#default-router 192.168.1.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.1.0 255.255.255.0Router(dhcp-config)#exit

設置VLAN20 DHCP伺服器

Router(config)#ip dhcp pool vlan20Router(dhcp-config)#default-router 192.168.2.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.2.0 255.255.255.0Router(dhcp-config)#exit

設置VLAN30 DHCP伺服器

Router(config)#ip dhcp pool vlan30Router(dhcp-config)#default-router 192.168.3.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.3.0 255.255.255.0Router(dhcp-config)#exit

設置路由

Router(config)#ip routing %開啟路由轉發Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254 %設置默認網關

設置NAT

Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload %允許四個網段進行NAT，出介面為WAN口，開啟埠地址復用Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80 %將內部伺服器的80埠映射到公網IP上Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %將內部伺服器的53埠映射到公網IP上

退出&保存設置

Router(config)#exitRouter#write

推薦閱讀：