【简介】思科三层交换机上VLAN划分之后,就需要配置允许VLAN之间互访以及通过路由器或防火墙上网了。
路由口设置
前面做规划的时候,计划第24接口是用来连接上网设备的,这里以连接飞塔防火墙为例。
① 配置第24接口:
(1) configure terminal命令进入全局配置模式。
(2) interface命令进入第24接口配置。
(3) description命令标注接口的作用是连接互联网的。
(4) no switchport命令把接口转换成三层可路由接口。
(5) dns-server命令给新建立的地址池分配网DNS服务器,如果只是上网的话,指定外网的DNS地址,可以有两个,中间用逗号分开,也可以指定内网的DNS服务器。
(6) ip address命令给接口配置IP地址和子网掩码。
② 用show vlan brief命令查看VLAN状况,发现第24口并不在所有VLAN内,它是独立的。
③ 用show ip interface brief命令IP状况,可以看到第24口有IP地址,其它接口都划分到VLAN里,转换成二层交换接口,所以都没有IP地址。
防火墙接口
交换机的路由接口配置完后,将网线接入24口,另一头接入飞塔防火墙接口,防火墙接口的IP地址要和交换机24口的IP在同一网段。
① 防火墙的Internal1接口,用来连接思科三层交换机,防火墙接口IP地址172.20.1.1,交换机接口IP172.20.1.254。
② 防火墙的internal1接口是允许访问互联网的。
③ 三层交换机访问防火墙,需要配置回程路由,也就是数据返回交换机时应该走哪个接口哪个网关,当访问172.16.0.0网段时,数据走internal1接口,网关IP是交换机路由接口的IP地址。
④ 三层交换机有设两个网段,所以回程路由这里也设了两条。
交换机路由
在没有开启交换机路由之前,各个VLAN是不能互相访问的,也不能通过路由接口上网。
① ip routing命令为VLAN间路由启用IP路由功能,ip route命令以防火墙连三层交换机的接口IP地址为下一跳,允许通过这个地址访问互联网。
② 用show ip router命令查看交换机的路由表,可以看到新建了静态路由。
VLAN互访及上网测试
将电脑接入三层交换的不同接口,自动获取或手动设置IP地址、子网掩码、网关和DNS,然后互相Ping包测试。
① 测试结果,交换机172.18.2.0网段可以访问172.16.1.0网段,它们是处于不同VLAN。也可以访问互联网,这是通过24口到飞塔防火墙上网的。