实例：路由器接交换机划分VLAN

---

实例：路由器接交换机划分VLAN
　　一般来说交换机与路由器子接口配合，都因为交换机是二层交换机，没有三层路由功能，通过路由器终结二层交换机透传过来的vlan数据包，实现三层互通，是此类组网的主要目的。在路由器子接口之间，各个网段之间为直连路由，如果要实现某些网段之间的访问控制，一般通过在路由器上配置访问控制列表来实现。

　　1、功能需求及组网说明

　　端口的trunk配置

　　『配置环境参数』

　　1. SwitchA 端口E0/1属于vlan10，E0/2属于vlan20，E0/3与Router端口E0互连

　　2. vlan10内PC地址192.168.0.2/24，网关为路由器E0.1子接口地址192.168.0.1/24

　　3. vlan20内PC地址10.10.10.2/24，网关为路由器E0.2子接口地址10.10.10.1/24

　　4. SwitchA管理vlan100虚接口地址172.16.0.2/24，网关为路由E0接口地址172.16.0.1

　　『组网需求』

　　1. vlan10、vlan20和vlan100能够通过交换机透传到路由器，并且能够通过路由器子接口实现三层互通

　　2、数据配置步骤

　　『交换机配合路由器子接口数据配置流程』

　　一般来说交换机与路由器子接口配合，都因为交换机是二层交换机，没有三层路由功能，通过路由器终结二层交换机透传过来的vlan数据包，实现三层互通，是此类组网的主要目的。在路由器子接口之间，各个网段之间为直连路由，如果要实现某些网段之间的访问控制，一般通过在路由器上配置访问控制列表来实现。

　　三层交换机由于本身支持多个虚接口，可以直接实现多网段之间的三层互通，一般不涉及此类组网。

　　【SwitchA相关配置】

　　1. 创建（进入）vlan10

　　[SwitchA] vlan 10

　　2. 将E0/1加入到vlan10

　　[SwitchA-vlan10]port Ethernet 0/1

　　3. 创建（进入）vlan20

　　[SwitchA]vlan 20

　　4. 将E0/2加入到vlan20

　　[SwitchA-vlan20]port Ethernet 0/2

　　5. 实际当中一般将上行端口设置成trunk属性，允许vlan透传

　　[SwitchA-Ethernet0/3]port link-type trunk

　　6. 允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值

　　[SwitchA-Ethernet0/3]port trunk permit vlan all 7. 创建（进入）vlan100

　　[SwitchA]vlan 100

　　8. vlan100可以不包含具体的端口

　　9. 创建（进入）vlan100的虚接口

　　[SwitchA]interface Vlan-interface 100

　　10. 给vlan100的虚接口配置IP地址

　　[SwitchA-Vlan-interface100]ip address 172.16.0.2 255.255.255.0

　　11. 设置E0/3端口PVID为100，将管理vlan100送出去的报文vlan标记剥去，送往路由器主接口

　　[SwitchA-Ethernet0/3]port trunk pvid vlan 100

　　12.如果需要允许其它网段与交换机管理vlan地址互通，需要配置一条默认路由

　　[SwitchA]ip route-static 0.0.0.0 0.0.0.0 172.16.0.1

　　【RouterA相关配置】

　　1. 创建（进入）E0.1子接口

　　[RouterA]inter Ethernet 0.1

　　2. 在E0.1子接口里封装vlan10

　　[RouterA-Ethernet0.1]vlan-type dot1q vid 10

　　3. 在E0.1子接口配置IP地址

　　[RouterA-Ethernet0.1]ip address 192.168.0.1 255.255.255.0

　　4. 创建（进入）E0.2子接口

　　[RouterA]inter Ethernet 0.2

　　5. 在E0.2子接口里封装vlan20

　　[RouterA-Ethernet0.2]vlan-type dot1q vid 20

　　6. 在E0.2子接口配置IP地址

　　[RouterA-Ethernet0.2]ip address 10.10.10.1 255.255.255.0

　　7. 进入E0接口

　　[SwitchB-vlan20]port Ethernet 0

　　[RouterA-Ethernet0]ip address 172.16.0.1 255.255.255.0

　　【补充说明】

　　1. 如果一个端口是trunk端口，则该端口可以属于多个vlan

　　2. 缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID

　　3. 一台交换机上如果已经设置了某个端口为hybrid端口，则不可以再把另外的端口设置为trunk端口

　　3、测试验证

　　1. PC都能PING通自己的网关

　　2. PC之间能够PING通

　　3. 交换机能够与路由器E0接口地址互通

                       

立即下载试用

---

如何跨网段监控电脑上网、局域网跨网段监控软件、同一交换机多vlan上网管理控制软件的选择

 如何跨网段监控电脑上网、局域网跨网段监控软件、同一交换机多vlan上网管理控制软件的选择

作者：安企神日期：2022.6.11

     当前，国内很多企事业单位的局域网，由于电脑数量较多，或者处于网络安全的考虑，通常都通过三层交换机划分了Vlan，并且通常设置了各个网段之间禁止通讯，以保护各个网段、不同部门之间的网络安全。但在加强了网络安全控制的同时，也导致了网络管理相对较为复杂，如何跨网段监控电脑上网、跨网段绑定IP和MAC地址就成为网管员不得不考虑的一个网络管理问题。
 
    那么，如何监控三层交换机多网段电脑上网行为、控制多网段电脑上网、跨网段绑定电脑IP和MAC地址呢？笔者以为，可以通过以下两种途径来实现：
 
    一、借助于三层交换机自身的网络管理和网络控制功能来实现。
 
    当前，很多交换机都是带网管功能的智能交换机，通常都有一些上网行为控制和网络行为控制功能，一些较高级的三层交换机还带有IP和MAC地址绑定功能，可以对三层交换机划分的各个网段电脑进行IP和MAC绑定，同时还可以限制电脑网速、监控局域网流量等。设置也较为简单，以华为交换机为例，一般需要执行如下一些命令：
 
 1、利用三层交换机绑定IP和MAC地址：
 
    1、查看arp记录，即ip与mac的对应表
 
    disp arp | in <查询字符串>
 
    简单解释一下这个命令：
 
    disp：是display的简写
 
    arp：display arp表示显示所有arp缓存里面的记录
 
    |：管道，这个不解释，懂命令行的人都应该有点管道的常识
 
    in：是include命令的简写，用于进行查询
 
    <查询字符串>：可以指定一个ip或mac，disp arp将显示所有的记录，加了include xxx后，就可以查指定IP或MAC的arp记录。
 
    2、绑定IP地址与MAC地址
 
    先要进入System-View模式，输入"sys"即可。
 
    system-view:
 
    [s3928]arp static 121.221.60.211 0013-3909-d0aa
 
    这个就不多说了吧，注意一下MAC地址模式，跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同，有木有？
 
    绑定之后，再用disp arp查看它这一条记录时，Type值会显示为static（静态的），这表示你手动绑定的。如果你没有手工绑定，交换机也有学习的功能，他学习到的IP与MAC的对应记录，Type值为dynamic（动静的）。
 
2、利用三层交换机控制电脑网速、分配网络带宽：
 
    然后接下来就是控制电脑上网行为，和普通路由器控制局域网电脑上网行为一样，可以借助于三层交换机有效禁止局域网玩游戏、禁止股票软件、禁止在线看视频、监控电脑流量、分配带宽等，如下图所示：

图：利用三层交换机进行端口限速、三层交换机端口流量监控

 
三、借助于专门的跨网段监控软件、公司局域网网络控制软件来实现跨VLAN监控电脑上网行为
 
    当前，国内有很多专门的局域网网络控制软件、网络流量监控软件，也可以实现对三层交换机多网段电脑上网行为的控制。比较有代表性的，如“安企神”软件（下载地址：http://www.wgj7.com/soft.html），安企神是一款专门面向企事业单位局域网上网控制软件，只需要在局域网一台电脑安装就可以有效禁止电脑玩游戏、禁止电脑看视频、禁止电脑炒股、控制局域网网速、监控电脑流量、控制网页打开等，可以帮助企事业单位有效控制局域网电脑上网行为。
 
    针对当前国内很多企事业单位局域网都通过三层交换机划分了多个网段、并且需要管理多网段电脑上网行为的情况，安企神通过较早集成的“创新直连”监控模式，可以只需要将安装安企神的电脑接入到三层交换机一个VLAN，就可以控制所有网段电脑上网行为，从而不必将安企神串接到三层交换机和路由器之间（容易引发单点故障），从而极大地方便了企事业单位局域网跨网段控制电脑上网、跨网段限制电脑网速、跨网段绑定电脑IP和MAC地址了。如下图所示：

图：通过接入三层交换机一个网段就可以控制所有网段电脑上网行为 

图：通过网管软件来禁止电脑P2P下载、禁止看P2P网络电视、屏蔽在线看视频

     总之，无论是通过三层交换机自身的网络管理功能还是借助于专门的网络监控软件、上网行为控制软件，都可以实现三层交换机跨网段管理电脑上网行为的功能。只不过，前者更适合三层交换机较为专业，同时网管员也需要对三层交换机较为熟悉，而后者则相对更为简单，适合大多数用户的需要，具体采用何种举措，企事业单位可以根据自己的需要进行抉择。