1被浏览1052分享邀请回答0添加评论分享收藏感谢收起2009年3月 硬件使用大版内专家分月排行榜第二2009年1月 硬件使用大版内专家分月排行榜第二
2009年3月 硬件使用大版内专家分月排行榜第二2009年1月 硬件使用大版内专家分月排行榜第二
本帖子已过去太久远了，不再提供回复功能。比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
交换机配置vlan的详细命令
关键字：VLAN
　　vlan 配置思路 ( 、Trunk)
　　(1)创建Vlan
　　在基于IOS的上配置静态VLAN:
　　switch# vlan database
　　switch(vlan)# vlan vlan-num name vlan-name
　　switch(vlan)# exit
　　switch# configure teriminal
　　switch(config)# interface interface module/number
　　switch(config-if)# switchport mode access // 设置端口模式为access模式
　　switch(config-if)# switchport access vlan vlan-num // 设置端口所属的VLAN
　　switch(config-if)# end
　　核验配置：show vlan
　　(2)配置干道链路
　　干道是在两台catalyst交换机端口或catalyst交换机与间的点对点链路。 干道链路可以承载多个vlan.
　　在基于IOS的交换机上配置干道链路
　　switch(config)# interface interface mod/port
　　switch(config-if)# switchport mode trunk // 设置端口模式为trunk模式
　　switch(config-if)# switchport trunk encapsulation {isl|dotlq} // 设置trunk所的帧
　　switch(config-if)# switchport trunk allowed vlan remove vlan- // 允许那些VLAN通过干路
　　( 附：switchport trunk allowed vlan {add | all | except | remove} vlan-list )
　　* no switchport
　　no switchport // 把物理端口变成三层口，即把三层口当成路由器上的口，当将一个端口配置成三层端口之后，就可以在此端口上分配IP地址了，当然还是可以连接PC机的，. 路由口：路由口是指某一物理端口在端口配置状态下用no switchport命令生成的端口，所有的三层都需要IP地址以实现路由交换。
　　配置举例如下：
　　Switch# configure terminal
　　Switch(config)# interface gigabitethernet0/2
　　Switch(config-if)# no switchport
　　Switch(config-if)# ip 192.20.135.21 255.255.255.0
　　Switch(config-if)# no shutdown
　　Switch(config-if)# end
　　附：show interfaces [interface-id] switchport // 显示二层端口的状态，可以用来决定此口是否为二层或三层口。 Eg:Switch# show interfaces fastethernet 0/1 switchport[nextpage]
　　* 三层交换机上VLAN的设置
　　(1)方法一：一般常规配置
　　Switch# configure terminal
　　Switch(config)# vlan 20
　　Switch(config-vlan)# name test20
　　Switch(config-vlan)#ip address 1.1.1.1 255.255.255.0
　　Switch(config-vlan)# end
　　方法二：也可以在enable状态下，进行VLAN配置：
　　Switch# vlan database // 进入VLAN配置状态
　　Switch(vlan)# vlan 20 name test20 // 加入VLAN号及VLAN名
　　Switch(vlan)# exit 更新VLAN并退出
　　(2)将端口分配给某个VLAN
　　Switch# configure terminal
　　Switch(config)# interface fastethernet0/1
　　Switch(config-if)# switchport mode access // 定义二层口的工作模式为接入模式
　　Switch(config-if)# switchport access vlan 2 // 把端口分配给某一VLAN
　　Switch(config-if)# end
　　Switch#
　　(3)配置VLAN Trunks
　　Switch# configure terminal
　　Switch(config)# interface fastethernet0/4
　　Switch(config-if)# switchport mode trunk
　　Switch(config-if)# switchport trunk encapsulation dot1q
　　Switch(config-if)# end
　　附：switchport trunk encapsulation {isl | dot1q | negotiate} // 配置trunk封装ISL 或 802.1Q 或自动协商
　　switchport mode {dynamic {auto | desirable} | trunk} (一般不用它)，配置二层trunk模式。(dynamic auto-自动协商是否成为dynamic desirable-把端口设置为trunk如果对方端口是trunk, desirable, 或自动模式;trunk-设置端口为强制的trunk方式，而不理会对方端口是否为trunk)
　　(4)定义trunk允许的VLAN
　　Switch(config)# interface fastethernet0/1
　　Switch(config-if)# switchport trunk allowed vlan remove 2 // 配置trunk允许的VLAN
　　Switch(config-if)# end
　　附：switchport trunk allowed vlan {add | all | except | remove} vlan-list
　　(5)配置Native VLAN(802.1q)
　　switch(config-if)# switchport trunk native vlan-num // 封装802.1q的trunk端口可以接受带有标签和不带标签的流，交换机向native vlan传送不带标签的数据流，缺省情况下native VLAN是VLAN 1
　　使用no switchport trunk native vlan 端口配置命令回到缺省的状态
　　(6)配置一组端口
　　4006# configure terminal
　　4006(config)# interface range fastethernet2/1 C 5
　　4006(config-if-range)# no shutdown
　　// 注意：端口号之间需要加入空格，如：interface range fastethernet 2/1 C 5 是有效的，而interface range fastethernet 2/1-5 是无效的。
[ 责任编辑：babycorn ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte在VLAN之间设置访问控制的方法
在VLAN之间设置访问控制的方法
VLAN技术是解决DDOS攻击、IP地址冲突等问题的良好解决方案，但其本身却存在一个严重问题：不同VLAN网络间不能直接通信，这将如何办？
很多企业部署VLAN之后，由于处于不同VLAN的计算机之间不能直接通信，使网络的安全性能得到了很大提高。但事实上在很多网络中要求不是这样的，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在网络组建初期，网络中只有10%~20%的信息在VLAN之间传播，但随着用户应用的增多，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。
VACL（VLAN ACL）和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分，它定义了基于3层以上的信息流量，而所对应的参数则用于2层的 VLAN。VACL多是针对硬件里面应用，比传统的访问列表处理速度明显快的多。本文将介绍VACL的应用和操作步骤。
& &一．COS下的VACL
& & 任何一中流量控制的策略必须要首先制定要控制的是哪一种流量，以及如何处理这些流量。VACL与普通的ACL的相同，列表也是按照顺序进行匹配的。ACL 号相同的所有ACL形成一个组，在判断一个数据帧时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该数据帧的判断。基本的配置方法 如下：
& & 1．配置ACL
& & Set security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]
& & Set security acl ip命令后面指定IP ACL的名字，后面是协议的说明和采取的措施。
& & Permit |deny分别对应为：Permit是允许通过，deny是丢弃包。如果加上Redirect选项就代表不使用CAM（content addressable memory），而把流量发送到上一个指定的mod/port对应的端口上。对于COS的交换机来说ACL直到被提交之前都首先写入一个特殊的缓冲 区，并不作为交换机当前运行的条目，before和modify参数是指将配置的acl条目放到某条列表之前或者修改其实的参数。
& & 2．写入到TCAM
& & 前面已经说到了，在配置完ACL之后，它只在编辑缓冲区里面，我们必须同过commit security acl命令将配置写入到TCAM（ternary content addressable memory）。完整的命令参数如下：
& & commit security acl {name | all }
& & name 选项为只提交指定的名称列表（可以使用show security acl ip name editbuffer 查看编辑缓冲区内未被提交到内容的控制条目），all 选项指提交所有未写入的VACL。
& & 3．映射到VLAN
& & VACL与ACL都需要在提交之后把它们对应到作用对象上，如interface vlan1///ip access-group 101 out：这两句将access-list 101应用到vlan1接口的out方向。其中101是ACL号，和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤，可以有in和 out两种选择。COS VACL的配置同上面的道理一样，具体体现在：一个VLAN只能有一个VACL映射对其起作用，但一个VACL可以同时被多个VLAN同时调用。命令参数 如下：
& & Set security acl map acl_name vlan
& & 除了使用show security acl ip name editbuffer 可以查看编辑缓冲区的内容以外，在应用到VLAN以后，我们可以使用 show security acl info 和show security acl map 核实对配置和映射的结果。
二．系统下的VACL
& & 1．编写ACL
（1）表准访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的数据包采取&拒绝&或&允许&两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下：
router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log]
（2）扩展访问列表
扩展访问列表主要增加报文过滤能力，一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要 被过滤的协议，例如IP、TCP、UDP、ICMP等，协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100~199，。
（3）基于名称的访问列表
基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑，名字可以更加容易的记住访问控制列表的功能，命名的列表允许使用超过99个标准控制列表 和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。语法如下：
router(config)#ip access-list {standard | extended} name
这表示要进入的name所指定的列表配置模式，所有的permit和deny操作都是进入到这个模式下进行配置的。
& & 2．创建映射
VACL主要区别于上述ACL操作的方法，就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步，命令与法和解释如下：
命令一：(global) vlan access-map name [number]
vlan access-map后面的名字定义的时候最好有针对性或者提示性，而后续的设置的子句都使用number选项。如果在这里进行了分组的设置，每一个子句都要经过匹配检测，直到没有发现匹配语句才丢弃分组。
命令二：(vlan-map) match ip address {aclname | aclnumber}
执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号，而ACL定义的permit语句在这里表示匹配的意思，deny表示不匹配。
命令三：(vlan-map) action {drop | forward}
交换机根据匹配ACL确定的匹配，action命令后面的参数才是代表流量是允许（forward）还是丢弃（drop）。
& & 3．应用与检查
完成之前的配置后，需要用vlan filter命令把访问列表应用到交换机。格式如下：
(global) vlan filter mapname vlan-list list
Mapname参数对应的是vlan access-map命令创建的映射名称，list是vlan的序号。都配置完成之后，可以利用show命令检查VACL工作的状态，命令如下：
& & * show ip access-lists [number | name]
& & * show vlan access-map [mapname]
& & * show vlan filter [access-map name | vlan vlan-id]
& & * show ip interface type number
三．VACL应用范例
& & &1．协议
与端口访问控制&
& & &很多企业中的Windows服务器都开启了远程管理服务，但管理员又不希望，所有员工都能访问到这台服务器的端口。此时就可以使用VACL来助阵了。
& & &（1）配置一个ACL，以判断数据包是否是通过TCP端口3389进入的：
& & &Sw3750（config）# access-list 100 permit tcp any any eq 3389
& & &（2）配置VLAN访问映射表：
& & &Sw3750（config）# vlan access-map TSServer 100
& & &Sw3750（config-access-map）# match ip address 100
Sw3750（config-access-map）# action drop
（3）将VLAN访问控制列表应用于VLAN
Sw3750（config-access-map）# vlan filter TSServer vlan-list 10-20
2．主机访问控制
这里有一个非常简单的范例，我们将针对VLAN 10定制VACL，只拒绝Host A和Host B对Server的访问，其他主机是可以通过的。
命令如下：
Sw3750（config）# access-list 101 deny ip host 10.1.1.100 host 10.1.1.1
Sw3750（config）# access-list 101 deny ip host 10.1.1.200 host 10.1.1.1
Sw3750（config）# access-list 101 permit ip any any
Sw3750（config）# vlan access-map Server 101
Sw3750（config-access-map）# match ip address 101
Sw3750（config-access-map）# action forward
Sw3750（config-access-map）# vlan filter Server vlan-list 10}