项目目标:
在公司内部的局域网,为了管理方便划分3个子网,VLAN10为财务处VLAN 20为公司员工,VLAN30为公司领导使用。而公司的路由器上只有两个以太网接口,将财务处连接到以太网端口g0/0,另两个子网连接到g0/1,通过在二层交换机上如分VLAN,在路由器上通过单臂路由来实现VLAN之间的通信。为了不允许合作伙伴的局域网访问公司的财务部门而可以访问公司的其他部门,可以通过在路由器上使用ACL来实现。
1.构建网络实训环境
2. 给PC配置IP地址
根据拓扑图中的ip,给相关设备配置ip和默认网关
并给S2划分vlan 20,vlan30
S2(config)#vlan 20
S2(config-vlan)#vlan 30
S2(config-vlan)#exit
S2(config)#int f0/1
S2(config-if)#switchport access vlan 20
S2(config-if)#exit
S2(config)#int f0/2
S2(config-if)#switchport access vlan 30
给G0/2接口配置trunk口,允许vlan20和vlan30通过
S2(config)#int gigabitEthernet 0/2
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk allowed vlan all
3.配置R1
给G0/0配置IP地址
R1(config)#int gigabitEthernet 0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shut
给G0/1配置IP地址
R1(config-if)#int g0/1
R1(config-if)#no shut
//vlan20对应接口
R1(config)#int g0/1.20
R1(config-subif)#encapsulation dot1Q 20 //vlan号
//vlan对应接口
R1(config-subif)#int g0/1.30
R1(config-subif)#encapsulation dot1Q 30
R1(config-subif)#ip add 192.168.30.1 255.255.255.0
//s0/0/0接口
R1(config-if)#int s0/0/0
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#clock rate 9600
在R1内配置静态路由
R1(config)#ip route 192.168.40.0 255.255.255.0 10.1.1.2
4.配置R2
//给R2配置默认路由
Router(config)#ip route 0.0.0.0 255.255.255.255 10.1.1.1
5.在路由器上配置IP标准ACL
//不允许来自192.168.40.0 0.0.0.255的主机发送的数据包通过
R1(config)#access-list 1 deny 192.168.40.0 0.0.0.255
//允许来自192.168.20.0 0.0.0.255的主机发送的数据包通过
R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255
//允许来自192.168.30.0 0.0.0.255的主机发送的数据包通过
R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255
//把ACL应用在公司路由器的g0/0接口输出方向上
R1(config)#interface g0/0
R1(config-if)#ip access-group 1 out
查看ACL
R1#show access-lists 1
deny 192.168.40.0 0.0.0.255 (8 match(es))
permit 192.168.30.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
测试连通性
pc4不能ping通pc1,但能ping通pc2和pc3