Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shut Switch(config-if)#end
4). 具体VLAN规划如下:
任务五:WLAN、ACL、NAT和VPN设计
1).无线AP相关设置(以一个AP设置为例,其他AP省略) a.无线AP的IP地址设置,建议从DHCP SERVER得到相应的IP地址,也可以静态设置,静态设置时注意要是AP所属的VLAN规划的网段内的IP,切不能重复。此处以静态设置地址为例,本AP属于VLAN30,设置如下图:
16
b.设置AP的内网地址及开启DHCP作为AP的LAN口连接终端和无线接入终端分发IP地址.如下图:
c.测试AP连接的终端是否能够正确获得IP等相关配置信息
17
2).ACL相关配置
a.三层交换机上要求VLAN的互通满足以下要求: 财务VLAN不允许其他VLAN访问;
hexinjiaohuan0#conf t
hexinjiaohuan0(config)#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255
hexinjiaohuan0(config)#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.8.0 0.0.3.255
hexinjiaohuan0(config)#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.12.0 0.0.3.255
hexinjiaohuan0(config)#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.20.0 0.0.3.255
hexinjiaohuan0(config)#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.24.0 0.0.3.255
hexinjiaohuan0(config)#access-list 100 permit ip any any. hexinjiaohuan0(config)#int vlan 40
hexinjiaohuan0(config-if)#ip access-group 100 in hexinjiaohuan0(config-if)#end
行政办公VLAN可以访问教学及其他VLAN,但其他VLAN不能访问办
18
公VLAN;(此部分内容在模拟软件上无法实现) 方法一:使用反向ACL实现:
hexinjiaohuan0(config)#ip access-list extended invlan
hexinjiaohuan0(config-ext-invlan)#permit ip any any reflect kk hexinjiaohuan0(config)#ip access-list extended outvlan hexinjiaohuan0(config-ext-invlan)#evaluate kk hexinjiaohuan0(config-ext-invlan)#deny ip any any hexinjiaohuan0(config)# int vlan 10
hexinjiaohuan0(config-if)# ip access-group invlan in hexinjiaohuan0(config-if)#ip access-group outvlan out
注:ip access-list extended invlan
permit ip any any reflect kk
这一段就是取了流量记录到kk里面,这其实就是缓存,动态更新,和防火墙的原理样 ip access-list extended outvlan evaluate kk deny ip any any
然后在这个acl里面只放行kk那个缓存所记录的流量
方法二:
hexinjiaohuan0(config)# ip access-list extended vlan10toanothervlan hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.8.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.12.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.20.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan)#permit ip 172.16.28.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config)# int vlan 10
hexinjiaohuan0(config)# ip access-group vlan10toanothervlan out
注:假如主机A在其他VLAN中,主机B在VLAN10,当B访问A时(通过IP协议),在端口VLAN10的入方向上都没有应用ACL,所以流量可以通过;然后从A需要返回给B一个流量,“permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established”这条命令就是用来识别这个返回的流量的,因为是允许,所以可以通过,也就是说B可以连接A。
19
但如果是A主动发起一个连接请求,这个流量需要从VLAN10端口进入,而在VLAN10端口应用了访问控制列表,并且没有建立连接的缓存允许条目,所以这个流量不被允许通过,也就是说B不可以访问A。
其他VLAN间都可互通。
hexinjiaohuan0(config)#ip routing
b.工作日每天8:00-17:00不允许学生VLAN访问外网,其他VLAN3无限制。(此部分模拟软件无法实现)
jieru(config)# time-range denytime
jieru (config-time-range)# periodic weekdays 8:00 to 17:00 jieru (config)# ip access-list extended xianzhishangwang
jieru(config-ext-xianzhishangwang)#deny ip 172.16.24.0 0.0.3.255 any denytime
jieru(config-ext-xianzhishangwang)#permit ip any any denytime jieru (config)#int f0/0
jieru (config-if)#ip access-group xianzhishangwang in
这里的防火墙由一个2811路由器代替(模拟软件不支持防火墙),具体配置如下: a.路由设置:
Router>en Router#conf t
Router(config)#hostname jieru
jieru(config)# ip route 0.0.0.0 0.0.0.0 F0/1 //默认路由 jieru(config)# ip route 172.16.0.0 255.255.0.0 FastEthernet0/0
//对到达内网的目标网络从F0/0转发到核心交换处理,使用路由汇总节约路由表的条目数
b.NAT转换设置,使用超载NAT实现内网终端访问因特网,使用静态NAT实现外网用户访问公有地址访问内网WEB。
jieru (config)#access-list 10 permit 172.16.0.0 0.0.255.255 jieru (config)#access-list 10 permit any
jieru config)#ip nat inside source list 10 interface Serial2/0 overload jieru (config)#interface FastEthernet0/0
20