图 4 通过VLANIF实现同设备三层互访组网图
可在Switch_1和Switch_2上划分VLAN并将VLAN透传到Switch上,然后在Switch上为每个VLAN配置一个VLANIF接口,实现VLAN2和VLAN3间的路由。
2.2 跨设备三层互访
如图 5 所示,某大中型公司的部门1和部门2之间跨越两台或多台三层交换机,所属VLAN分别为VLAN2和VLAN3,部门1和部门2的用户互通时,需要经过两台或多台三层交换机。
图 5 通过VLANIF实现跨设备三层互访组网图
可在二层交换机上划分VLAN并将VLAN透传到三层交换机;在三层交换机Switch_1和上Switch_2为每个用户VLAN配置一个VLANIF接口,并为互联VLAN配置VLANIF接口;在其他三层设备上为互联VLAN配置VLANIF接口。除此以外,还需要在Switch_1和上Switch_2之间配置静态路由或运行动态路由协议(跨两台以上三层交换机时,建议运行动态路由协议)。
03
通过流策略实现VLAN间互访控制
如图 6 所示,为了通信的安全性,某公司将访客区、员工区、服务器区分别划分到VLAN10、VLAN20、VLAN30中。公司希望员工、服务器主机、访客均能访问Internet,但访客不能与员工互通,且只能访问服务器区的服务器_1。
图 6 通过流策略实现VLAN间互访控制组网图
在公司中心交换机Switch上配置VLANIF10、VLANIF20、VLANIF30、VLANIF100,并配置到Router的路由后,员工、服务器主机、访客均能访问Internet,且员工、服务器主机、访客之间能够互相访问。为了控制访客的访问,可在Switch上配置流策略,匹配规则如下:
- ACL规则1:禁止源IP为访客的IP网段,目的IP为员工所在的IP网段。
- ACL规则2:允许源IP为访客的IP网段,目的IP为服务器_1的IP,禁止源IP为访客的IP网段,目的IP为服务器所在的IP网段。
- ACL规则3:禁止源IP为员工的IP网段,目的IP为访客所在的IP网段。
- ACL规则4:禁止源IP为服务器的IP网段,目的IP为访客的所在的IP网段。
然后在Switch连接访客区的接口的入、出方向上应用该流策略,即可使访客不能与员工互通,且只能访问服务器区的服务器_1。
04
交换机与路由器通过VLANIF接口实现三层互联
为降低成本,多数企业内部使用交换机互联,而通过出口路由器与外部ISP网络建立连接,如图 7所示。
图 7 交换机与路由器互联示意图
为了能够访问外部ISP网络,核心交换机(三层)与出口路由器之间需要三层互通。由于多数三层交换机不支持路由接口或支持的路由接口有限,一般通过配置VLANIF接口作为三层接口与出口路由器的三层子接口实现三层互联,然后配置静态路由或运行动态路由协议,实现核心交换机与出口路由器之间的三层互通。
,
