C-F7. 多VLAN互访及上网 ❀ C3750-E ❀ 思科 (CISCO) 交换机

        【简介】思科三层交换机上VLAN划分之后，就需要配置允许VLAN之间互访以及通过路由器或防火墙上网了。

---

  路由口设置

        前面做规划的时候，计划第24接口是用来连接上网设备的，这里以连接飞塔防火墙为例。

        ① 配置第24接口：

        (1) configure terminal命令进入全局配置模式。

        (2) interface命令进入第24接口配置。

        (3) description命令标注接口的作用是连接互联网的。

        (4) no switchport命令把接口转换成三层可路由接口。

        (5) dns-server命令给新建立的地址池分配网DNS服务器，如果只是上网的话，指定外网的DNS地址，可以有两个，中间用逗号分开，也可以指定内网的DNS服务器。

        (6) ip address命令给接口配置IP地址和子网掩码。

        ② 用show vlan brief命令查看VLAN状况，发现第24口并不在所有VLAN内，它是独立的。

        ③ 用show ip interface brief命令IP状况，可以看到第24口有IP地址，其它接口都划分到VLAN里，转换成二层交换接口，所以都没有IP地址。

  防火墙接口

       交换机的路由接口配置完后，将网线接入24口，另一头接入飞塔防火墙接口，防火墙接口的IP地址要和交换机24口的IP在同一网段。

        ① 防火墙的Internal1接口，用来连接思科三层交换机，防火墙接口IP地址172.20.1.1，交换机接口IP172.20.1.254。

        ② 防火墙的internal1接口是允许访问互联网的。

        ③ 三层交换机访问防火墙，需要配置回程路由，也就是数据返回交换机时应该走哪个接口哪个网关，当访问172.16.0.0网段时，数据走internal1接口，网关IP是交换机路由接口的IP地址。

        ④ 三层交换机有设两个网段，所以回程路由这里也设了两条。

  交换机路由

        在没有开启交换机路由之前，各个VLAN是不能互相访问的，也不能通过路由接口上网。

        ① ip routing命令为VLAN间路由启用IP路由功能，ip route命令以防火墙连三层交换机的接口IP地址为下一跳，允许通过这个地址访问互联网。

        ② 用show ip router命令查看交换机的路由表，可以看到新建了静态路由。

  VLAN互访及上网测试

        将电脑接入三层交换的不同接口，自动获取或手动设置IP地址、子网掩码、网关和DNS，然后互相Ping包测试。

        ① 测试结果，交换机172.18.2.0网段可以访问172.16.1.0网段，它们是处于不同VLAN。也可以访问互联网，这是通过24口到飞塔防火墙上网的。

老梅子   QQ：57389522

---