(第四章) Cisco InterVLAN Routing – 設定 Access Control Lists
前一章因為在 Layer 3 Switch 開啟了ip routing 功能,使到兩個 Vlan 互通,但筆者在第一章曾經講過要兩個 Vlan 互不相通,因此需要利用 ACL 作控制。筆者在這裡不再深入探討 ACL,如果有興趣的話,請到這裡參考。在 InterVLAN Routing 環境設定 ACL,目的是能夠在 Layer 3 Switch 作中央控制之用,不需要在每個 Layer 2 Switch 的 Trunk 埠設定 Allowed Vlan,簡化了工作負擔。
而在設定程序上面,首先設定自定 ACL,然後將自定好的 ACL 放進 Vlan 介面,最後就是測試能否做到兩個 Vlan 互不相通的效果。
Layer 3 Swtich
Step 1:首先我們自定 ACL,請按【3560-24PS Layer 3 Switch】,進入後按【CLI】按鈕,然後跟著輸入以下 ACL 指令。
Layer3_Switch>ena
Layer3_Switch#config t
Layer3_Switch(config)#access-list 1
Layer3_Switch(config)#access-list 1 deny 10.0.1.0 0.0.0.255
Layer3_Switch(config)#access-list 1 permit any
Layer3_Switch(config)#access-list 2
Layer3_Switch(config)#access-list 2 deny 10.0.0.0 0.0.0.255
Layer3_Switch(config)#access-list 2 permit any
– 檢查剛才所自定的 ACL 是否存在。
Layer3_Switch#show run
access-list 1 deny 10.0.1.0 0.0.0.255
access-list 1 permit any
access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
– 然後將 access-list 1 放進 Vlan 10 介面,而 access-list 2 放進 Vlan 20 介面。
Layer3_Switch(config)#int vlan 10
Layer3_Switch(config-if)#ip access-group 1 out
Layer3_Switch(config)#int vlan 20
Layer3_Switch(config-if)#ip access-group 2 out
– 檢查剛才的兩條 access list 有沒有放錯 Vlan 介面。
Layer3_Switch#show run
interface Vlan10
ip address 10.0.0.254 255.255.255.0
ip access-group 1 out
!
interface Vlan20
ip address 10.0.1.254 255.255.255.0
ip access-group 2 out
– 最後儲存現有設定到開機設定。
Layer3_Switch#copy run start
Destination filename [startup-config]?
Building configuration…
[OK]
Step 2:同樣地使用 ping 測試網絡,請按【PC-PT Marketing Deparment 01】,進入後按【Desktop】→【Command Prompt】。跟著 ping 10.0.0.2 位於另外一台 Switch 的 PC-PT Marketing Deparment 02 電腦,發現能夠正常溝通,因為同樣屬於 Vlan 10。
Step 3:然後 ping 屬於 Vlan 20 的兩台 HR 電腦,發覺不能溝通,這很明顯 ACL 生效。
Step 4:因為需要存取互聯網的 Web 伺服器,請嘗試 ping 它,亦都發覺能夠溝通。
Step 5:我們更加想知道是否真的能夠看到 Web 伺服器的內容,請按【PC-PT Marketing Deparment 01】電腦開啟【CLI】→【Desktop】→【Web Browser】,然後在瀏覽器輸入互聯網的 Web 伺服器 IP Address 203.0.0.2,真的能夠看到 Web 伺服器內容。
Step 6:我們測試了 Vlan 10,現在測試 Vlan 20,其實都是使用一樣的方法,請按【PC-PT HR Deparment 01】,進入後按【Desktop】→【Command Prompt】,跟著 ping 10.0.1.2 位於另外一台 Switch 的
PC-PT HR Deparment 02 電腦,發現能夠正常溝通,因為同樣屬於 Vlan 20。
Step 7:然後 ping 屬於 Vlan 10 的兩台 Marketing 電腦,發覺不能溝通。
Step 8:接著 ping 到互聯網的 Web 伺服器,同樣沒有問題。
Step 9:請按【PC-PT HR Deparment 01】電腦開啟【CLI】→【Desktop】→【Web Browser】,然後在瀏覽器輸入互聯網的 Web 伺服器 IP Address 203.0.0.2,一樣能夠看到 Web 伺服器內容。
InterVLAN Routing 經已完成,大家會發覺內裡的設定還多,但只要不斷去熟習就能夠掌握得到。
(第一章) Cisco InterVLAN Routing – 簡單敘述
(第二章) Cisco InterVLAN Routing – 網絡圖解
