设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNA求助答疑 让2电脑在不同VLAN也不能通讯,但都能上网,路由器该怎 ...
返回列表 发新帖
查看: 4885|回复: 14
收起左侧

[求助] 让2电脑在不同VLAN也不能通讯,但都能上网,路由器该怎么设置

[复制链接]
老朽
发表于 2015-5-7 22:59:28 | 显示全部楼层 |阅读模式
3鸿鹄币
如图结构很简单,我就想2个电脑划分在不同的VLAN10,VLAN20后不能互相访问,但都能上网,交换机的F0/1进入VLAN10、F0/3进入VLAN20、F0/2设置TRUNK后,路由器该怎么设置,如果PC机都设置自动获取IP地址,路由器的DHCP又该怎么设置
QQ图片20150507225019.png

最佳答案

Love幻→无情

查看完整内容

首先配置正常配置单臂路由 R(config)#int fa0/0 no shutdown exit int fa0/0.1 encapsulation dot1q 10 ip address 10.1.1.1 no shutdown int fa0/0.2 encapsulation dot1q 20 ip address 20.1.1.1 然后路由器上配置DHCP R(config)#se ...
路由器, IP地址, 交换机, 电脑

相关帖子
回复

使用道具 举报

Love幻→无情
发表于 2015-5-7 22:59:29 | 显示全部楼层
首先配置正常配置单臂路由
R(config)#int fa0/0
                 no shutdown
                 exit
                 int fa0/0.1
                 encapsulation dot1q 10
                 ip address 10.1.1.1
                 no shutdown

                 int fa0/0.2
                 encapsulation dot1q 20         
                 ip address 20.1.1.1

然后路由器上配置DHCP
R(config)#sevice dhcp
                     ip dhcp pool 1
                     network  10.1.1.0 255.255.255.0
                     dns-server 8.8.8.8
                     default-router 10.1.1.1
                     exit
                     ip dhcp excluded-address 10.1.1.1

                     ip dhcp pool 2
                     network 20.1.1.0 255.255.255.0
                     dns-server 8.8.8.8
                     default-router 20.1.1.1
                     exit
                     ip dhcp excluded-address 20.1.1.1

DHCP配置完成之后将PC设置为DHCP获取IP,此时PC1可以访问PC2实现不同vlan通信

接下来在SW上配VACL来过滤VLAN 10去往VLAN 20的流量(这个只能在真机上实现,模拟器无法完成)
SW(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
                        vlan access-map cisco 10
                        match ip address 100
                        action drop
                        vlan access-map cisco 20
                        action forward
                        vlan filter cisco vlan-list 10
此时做完VACL之后,VLAN 10和VLAN 20就无法通信了,但是正常可以上网,而且PC的IP地址都是DHCP自动获取

沙发 2015-5-7 22:59:29 回复 收起回复
回复

使用道具 举报

higo_1
发表于 2015-5-8 07:42:19 | 显示全部楼层
一种实现方式,首先整个网络用单臂路由实现。然后在子接口上用标准范围控制列表做过滤。
板凳 2015-5-8 07:42:19 回复 收起回复
回复

使用道具 举报

arou5997
发表于 2015-5-8 08:17:28 | 显示全部楼层
挽尊
地板 2015-5-8 08:17:28 回复 收起回复
回复

使用道具 举报

zhongr130
发表于 2015-5-8 08:25:51 | 显示全部楼层
单臂路由?
5# 2015-5-8 08:25:51 回复 收起回复
回复

使用道具 举报

arou5997
发表于 2015-5-8 08:35:42 | 显示全部楼层
我的方法是在两个子接口上分别配置扩展访问控制列表,DHCP的话,正常配置就行了。我不知道这是不是最好的方法,但是能实现你的需求。
6# 2015-5-8 08:35:42 回复 收起回复
回复

使用道具 举报

Rockyw
发表于 2015-5-8 10:45:27 | 显示全部楼层
路过了解一下
7# 2015-5-8 10:45:27 回复 收起回复
回复

使用道具 举报

chenlianghx
发表于 2015-5-9 17:43:43 | 显示全部楼层
配个扩展的deny ACL就行,应用在两个子接口的out方向。
8# 2015-5-9 17:43:43 回复 收起回复
回复

使用道具 举报

tundra
发表于 2015-5-13 16:47:29 | 显示全部楼层
本帖最后由 tundra 于 2015-5-13 16:49 编辑

我这么考虑的,欢迎探讨
既然不需要vlan间通信,就没必要配单臂路由,自然也用不上ACL了。

路由器F0/0配子接口保证两个vlan都能通达Wan口就行。然后router配IP pool, 你划一个C给地址池也行,但安全考虑地址范围从一个29位的块中(含8个地址,6个可用)取两个给子接口,剩下的放地址池中就OK

9# 2015-5-13 16:47:29 回复 收起回复
回复

使用道具 举报

老朽
 楼主| 发表于 2015-5-14 20:32:45 | 显示全部楼层
我挨个测试下,谢谢
10# 2015-5-14 20:32:45 回复 收起回复
回复

使用道具 举报

mushuchl
发表于 2015-5-15 15:09:36 | 显示全部楼层
有私有VLAN
11# 2015-5-15 15:09:36 回复 收起回复
回复

使用道具 举报

7100988
发表于 2016-12-29 18:35:55 | 显示全部楼层
Love幻→无情 发表于 2015-5-7 22:59
首先配置正常配置单臂路由
R(config)#int fa0/0
                 no shutdown

谢谢 我回去也测试一下
12# 2016-12-29 18:35:55 回复 收起回复
回复

使用道具 举报

7100988
发表于 2016-12-29 18:36:04 | 显示全部楼层
Love幻→无情 发表于 2015-5-7 22:59
首先配置正常配置单臂路由
R(config)#int fa0/0
                 no shutdown

谢谢  我回去也测试一下
13# 2016-12-29 18:36:04 回复 收起回复
回复

使用道具 举报

7100988
发表于 2016-12-29 18:37:07 | 显示全部楼层
谢谢 我回去也试试
14# 2016-12-29 18:37:07 回复 收起回复
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-11 21:57 , Processed in 0.079345 second(s), 22 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表