3,808
社区成员
发帖
与我相关
我的任务
分享多VLAN中的电脑访问多上网线路的问题
我以前没有划分VLAN的实际经验,现准备划分VLAN,设备有:CISCO Catalyst 3650G和CISCO Catalyst 2950G。现有上网线路4条,网内用户大约500人,上网的用户仅限于少数几十人,且分布于不同的VLAN中。
假如我现在已经划分了四个VLAN,VLAN之间可以正常通信. VLAN信息如下:
VLAN 2: VLAN ID VLAN20,VLAN IP 172.16.2.254;
VLAN 3: VLAN ID VLAN30,VLAN IP 172.16.3.254;
VLAN 4: VLAN ID VLAN40,VLAN IP 172.16.4.254;
VLAN 5: VLAN ID VLAN50,VLAN IP 172.16.5.254.
上网线路可以正常使用, 防火墙的IP地址为172.16.1.1, 172.16.1.2, 172.16.1.3, 172.16.1.4.
现VLAN3中有三台电脑PC1,PC2和PC3, IP地址分别为172.16.3.1, 172.16.3.2, 172.16.3.3.
希望让PC1使用线路172.16.1.2上网, PC2使用线路172.16.1.1, PC3使用线路172.16.1.4, 请问如何做到?
假如我现在已经划分了四个VLAN,VLAN之间可以正常通信. VLAN信息如下:
VLAN 2: VLAN ID VLAN20,VLAN IP 172.16.2.254;
VLAN 3: VLAN ID VLAN30,VLAN IP 172.16.3.254;
VLAN 4: VLAN ID VLAN40,VLAN IP 172.16.4.254;
VLAN 5: VLAN ID VLAN50,VLAN IP 172.16.5.254.
上网线路可以正常使用, 防火墙的IP地址为172.16.1.1, 172.16.1.2, 172.16.1.3, 172.16.1.4.
现VLAN3中有三台电脑PC1,PC2和PC3, IP地址分别为172.16.3.1, 172.16.3.2, 172.16.3.3.
希望让PC1使用线路172.16.1.2上网, PC2使用线路172.16.1.1, PC3使用线路172.16.1.4, 请问如何做到?
...全文
请发表友善的回复…
发表回复
garyliu18 2009-05-12
- 打赏
- 举报
现在划分了VLAN,已经按照zj988119和legend_hhb所说的使用策略路由应用到各个VLAN中,VLAN中的电脑可以按照策略路由访问指定线路,上网速度也和原来一样,但是各个VLAN的客户端间相互访问和访问文件服务器和ERP服务器的速度要比不使用策略路由要慢四倍。
交换机的配置节选如下,请问是什么原因导致速度慢,如何解决?
interface Vlan5
ip address 192.168.5.1 255.255.255.0
ip helper-address 192.168.0.202
ip helper-address 192.168.0.201
ip policy route-map OfficeA3ToInternet
access-list 102 deny ip any 192.168.0.0 0.0.255.255
access-list 102 permit ip 192.168.5.240 0.0.0.15 any
access-list 103 deny ip any 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.5.224 0.0.0.15 any
access-list 104 deny ip any 192.168.0.0 0.0.255.255
access-list 104 permit ip 192.168.5.208 0.0.0.15 any
access-list 105 deny ip any 192.168.0.0 0.0.255.255
access-list 105 permit ip 192.168.5.192 0.0.0.15 any
access-list 106 deny ip any 192.168.0.0 0.0.255.255
access-list 106 permit ip 192.168.5.160 0.0.0.31 any
route-map OfficeA3ToInternet permit 10
match ip address 102
set ip next-hop 192.168.3.252
!
route-map OfficeA3ToInternet permit 20
match ip address 103
set ip next-hop 192.168.3.254
!
route-map OfficeA3ToInternet permit 30
match ip address 104
set ip next-hop 192.168.3.245
!
route-map OfficeA3ToInternet permit 40
match ip address 106
set ip next-hop 192.168.3.253
!
route-map OfficeA3ToInternet permit 50
match ip address 105
set ip next-hop 192.168.3.243
交换机的配置节选如下,请问是什么原因导致速度慢,如何解决?
interface Vlan5
ip address 192.168.5.1 255.255.255.0
ip helper-address 192.168.0.202
ip helper-address 192.168.0.201
ip policy route-map OfficeA3ToInternet
access-list 102 deny ip any 192.168.0.0 0.0.255.255
access-list 102 permit ip 192.168.5.240 0.0.0.15 any
access-list 103 deny ip any 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.5.224 0.0.0.15 any
access-list 104 deny ip any 192.168.0.0 0.0.255.255
access-list 104 permit ip 192.168.5.208 0.0.0.15 any
access-list 105 deny ip any 192.168.0.0 0.0.255.255
access-list 105 permit ip 192.168.5.192 0.0.0.15 any
access-list 106 deny ip any 192.168.0.0 0.0.255.255
access-list 106 permit ip 192.168.5.160 0.0.0.31 any
route-map OfficeA3ToInternet permit 10
match ip address 102
set ip next-hop 192.168.3.252
!
route-map OfficeA3ToInternet permit 20
match ip address 103
set ip next-hop 192.168.3.254
!
route-map OfficeA3ToInternet permit 30
match ip address 104
set ip next-hop 192.168.3.245
!
route-map OfficeA3ToInternet permit 40
match ip address 106
set ip next-hop 192.168.3.253
!
route-map OfficeA3ToInternet permit 50
match ip address 105
set ip next-hop 192.168.3.243
garyliu18 2009-04-21
- 打赏
- 举报
简单地讲,我的问题是:cisco 3560三层交换机划了几个vlan后,我有四条上网线路连接到Internet,那么我内网的几个VLAN如何才能选择走哪一条线路访问Internet?
我尝试使用legend_hhb所讲的PBR策略路由来做,但是应用route-map时,在VLAN配置接口下没有ip policy-map这个命令.
交换机型号为CISCO WS-C3560G-48TS,现在的ISO版本为12.2(35)SE5.
请问是何原因?是不是交换机的IOS太低?
我尝试使用legend_hhb所讲的PBR策略路由来做,但是应用route-map时,在VLAN配置接口下没有ip policy-map这个命令.
交换机型号为CISCO WS-C3560G-48TS,现在的ISO版本为12.2(35)SE5.
请问是何原因?是不是交换机的IOS太低?
legend_hhb 2009-04-15
- 打赏
- 举报
楼上建议不错,就是不知道用户有没有那么多public ip
建议采用PBR。比如pC1----防火墙1
access-list 100 per ip pc1 any
route-map pc1 per 10
match add 100
next-hop 防火墙1
把route-map用到vlan2
int vlan2
ip policy-map pc1
思路就是这样,具体命令各个厂商设备会有不同
建议采用PBR。比如pC1----防火墙1
access-list 100 per ip pc1 any
route-map pc1 per 10
match add 100
next-hop 防火墙1
把route-map用到vlan2
int vlan2
ip policy-map pc1
思路就是这样,具体命令各个厂商设备会有不同
rainy201314 2009-04-15
- 打赏
- 举报
在路由器上使用静态NAT
把需要上网的3个PC的私有IP地址转化为可以上网的公有IP地址。
把需要上网的3个PC的私有IP地址转化为可以上网的公有IP地址。
zj988119 2009-04-14
- 打赏
- 举报
从描述中貌似你说的上网线路指的是接入网?你有四条接入网,并且出口设备是防火墙?
如果是这样要具体到不同电脑走不同的线路,可以用策略路由来实现
不知道你的网络拓扑是什么样的
如果防火墙支持,可以直接在防火墙里面设置策略路由
如果下联有三层核心交换机
可以在核心交换的进口上做策略路由
配置应该是很简单的
如果是这样要具体到不同电脑走不同的线路,可以用策略路由来实现
不知道你的网络拓扑是什么样的
如果防火墙支持,可以直接在防火墙里面设置策略路由
如果下联有三层核心交换机
可以在核心交换的进口上做策略路由
配置应该是很简单的
空心兜兜 2009-04-13
- 打赏
- 举报
关注
一半乐事 2009-04-13
- 打赏
- 举报
没太看懂楼主的意思。
不知道你的交换机和防火墙是怎么连接的,怎么有这么多防火墙。最好详细说明下网络结构。
我们知道VLAN启用了IP后就启用了三层,启用三层的交换机上所有的路由默认都是打通的。
因此,要对用户做限制,最好只使用二层,使用三层需要用ACL控制,反而不方便。
如果只启用二层,将VLAN3透传到防火墙,并在防火墙相关端口(或子接口)上封装dot1q 30,配置好地址,所有VLAN3内的主机网关设置为防火墙的这个端口地址就可以了。同样,将其它防火墙也封装vlan30,为不同的主机设置设置不同的网关即可。
对限制上网的可通过ACL来控制下。
不知道你的交换机和防火墙是怎么连接的,怎么有这么多防火墙。最好详细说明下网络结构。
我们知道VLAN启用了IP后就启用了三层,启用三层的交换机上所有的路由默认都是打通的。
因此,要对用户做限制,最好只使用二层,使用三层需要用ACL控制,反而不方便。
如果只启用二层,将VLAN3透传到防火墙,并在防火墙相关端口(或子接口)上封装dot1q 30,配置好地址,所有VLAN3内的主机网关设置为防火墙的这个端口地址就可以了。同样,将其它防火墙也封装vlan30,为不同的主机设置设置不同的网关即可。
对限制上网的可通过ACL来控制下。
