1、第12章 三层交换机的配置,本章要点: PVLAN的配置 设置IP访问列表 设置端口访问列表 设置VLAN访问列表,12.1 配置IP路由,VLAN之间是无法直接通讯的,VLAN之间的通讯必须借助于第三层交换机。VLAN之间的通讯必须借助于三层接口才能实现。因此,VLAN创建完成后,必须配置三层VLAN端口,才能使VLAN之间的通讯成为可能。,12.1.1 为第三层接口配置IP地址,1. 配置逻辑三层接口2. 配置物理三层接口,12.1.2 设置默认网关,当没有配置路由协议时,交换机使用默认网关实现与其他网络的通讯。需要注意的是,默认网关必须是直接与交换机相连接的路由器端口的IP地址,即路由器
2、的LAN端口的IP地址。,12.1.3 设置静态路由,如果Telnet终端或SNMP网络管理站点与交换机位于不同的网络,并且没有配置路由协议,那么,将需要添加静态路由表以实现与彼此之间的通信。,12.2 配置三层EtherChannel,1. 创建Port-Channel逻辑接口2. 将物理端口配置为三层EtherChannel,12.2.1 配置三层EtherChannel,12.2.2 设置EtherChannel Trunk,EtherChannel Trunk,12.3 私有VLAN,私有VLAN(Private Virtual Local Area Network,PVLAN)端口之
3、间相互隔离,不能实现相互之间的通信,仅可通过上联端口访问到企业网络。若用户希望端口之间通信,必须借助三层交换机或路由器进行路由转发。PVLAN在访问安全和避免广播风暴方面做的是非常到位的。,12.3.1 了解PVLAN技术,1. VLAN的局限性2. PVLAN技术 PVLAN端口PVLAN域,VLAN的局限性,VLAN的限制复杂的STPIP地址的紧缺 路由的限制,PVLAN技术,PVLAN端口,PVLAN端口有3种类型:Promiscuous、Isolated、Community。,PVLAN域,Primary VLAN与Secondary VLAN,PVLAN域,Trunk实现PVLAN传
4、输,12.3.2 配置PVLAN,1. 配置PVLAN一般步骤2. 将VLAN配置为PVLAN3. 关联Primary VLAN与Secondary VLAN4. 配置PVLAN Promiscuous端口,5. 配置PVLAN Host端口6. 配置PVLAN Trunk端口7. 将Secondary VLAN映射为Primary VLAN三层VLAN接口,12.4 访问控制列表,访问控制列表(ACL,Access Control List)是Cisco IOS提供的一种访问控制技术,被广泛应用于路由器和三层交换机。借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地
5、保障网络安全,并使得企业网络不被滥用。,12.4.1 认识访问列表,1. 交换机支持的访问列表2. 访问列表的类型标准IP访问控制列表扩展IP访问控制列表命名访问控制列表,3. 配置访问列表应当注意的问题自上而下的处理过程添加表项标准访问列表过滤访问列表位置语句的位置访问列表应用过滤方向4. 访问列表配置步骤,12.4.2 创建并应用IP访问列表,1. 创建标准访问列表2. 创建扩展访问列表3. 创建IP访问列表名称4. 基于时间的访问列表5. 将IP访问列表应用到接口,12.4.2 创建并应用IP访问列表,4. 基于时间的访问列表5. 将IP访问列表应用到接口,基于时间的访问列表,perio
6、dic语句中可以使用的每星期天数中的参数,12.4.3 创建并应用端口访问列表,1. 创建端口扩展访问列表名称2. 将端口访问列表应用到二层接口,12.4.4 创建并应用VLAN访问列表,1. 创建VLAN访问列表2. 将VLAN访问列表应用到VLAN,12.5 习 题,1. 简述PVLAN的意义2. 简述访问列表的分类及其应用,简答题,操作题,1. 在Cisco Catalyst 4006和Catalyst 3750交换机之间创建EtherChannel,并将该EtherChannel设置为Trunk。2. 在Cisco Catalyst 3550交换机的VLAN100上创建PVLAN,禁止端口之间的互访,并实现对Internet的访问。3. 在周一至周五的9:0018:00,只允许VLAN 10 VLAN 100的网络用户访问Web网站、收发电子邮件,其他用户不受任何限制。,
