中小企业VLAN划分方案1.网络拓扑图2.网络拓扑说明:中小型企业PC机有200台左右,网络拓扑简单,一般由一个防火墙连接一个三层核心交换机,核心交换机级联多个接入层交换机。3.VLAN实现必要性:同一广播域电脑数量过多,容易造成广播风暴,造成网络带宽严重浪费。VLAN可以跨越地理位置划分部门,方便管理,加强网络的安全性,通过ACL加强访问权限控制。4.难点:由于企业网中不存在路由器,不能通过单臂路由实现VLAN间的互访。5.解决方案:通过配置VLAN虚拟接口和静态路由实现VLAN间的互访和与internet的连接.VLAN1的IP段为192.168.4.0,VLAN10的IP段为192.168.1.0,VLAN20的IP段为192.168.2.0,为服务器组。VLAN30的IP段为192.168.3.06.详细配置1.防火墙配置:firewallinterfaceFastEthernet0/0ipaddress192.168.4.2255.255.255.0noshutdown//配置路由器与核心交换接口f0/0iproute192.168.0.0255.255.0.0192.168.4.1//为访问内部网络设置静态路由2.核心交换机配置:SWinterfacerangefastEthernet0/0–24switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanall//将核心交换的所有端口设置为trunkaccess-list101denyip192.168.1.00.0.0.255192.168.2.00.0.0.255access-list101permitipanyany//新建访问控制列表101iprouting//开启路由功能interfaceVlan1ipaddress192.168.4.1255.255.255.0//新建虚拟vlan1端口,设置IP!interfaceVlan10//新建虚拟vlan10端口,设置IPipaddress192.168.1.1255.255.255.0ipaccess-group101in//阻止VLAN10和VLAN20的互访!interfaceVlan20ipaddress192.168.2.1255.255.255.0//新建虚拟vlan20端口,设置IPinterfaceVlan30//新建虚拟vlan30端口,设置IPipaddress192.168.3.1255.255.255.0iproute0.0.0.00.0.0.0192.168.4.2//设置默认路由,以便访问internet3.接入层交换机:SW1InterfacefastEthernet0/0interfacerangefastEthernet0/0–24switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanall//将与核心交换相邻端口设置为trunkInterfacefastEthernet0/1switchportmodeaccessswitchportmodeaccessvlan10//根据端口划分vlan
