路由器单臂路由与VLAN(8021Q)的典型配置(经典)

(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)单臂(路由器的缩写)与VLAN(80II.1Q)的典型配置(原创经典)
【需求】
(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)与交换机的上行trunk端口(Port)相连，交换机下行口划分5个VLAN，带若干主机.在局域网中，通过交换机上配置VLAN可以减少主机通信广播域的范围，当VLAN之间有部分主机需要通信，但交换机不支持三层交换时，可以采用一台支持80II.1Q的(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)实现VLAN的互通.这需要在以太口上建立子接口，分配IP地址作为该VLAN的网关，同时启动操作系统80II.1Q，并启用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)，通过访问控制列表ACL来管理控制各VLAN之间相互通信.

【组网图】


【(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的具体配置】
RouterA配置脚本
#
sys
#
interface Ethernet 1/0
ip address 19II.168.0.1 25V.25V.25V.0
#
interface Ethernet 1/0.1
ip address 19II.168.I.1 25V.25V.25V.0
vlan-type dot1q vid 1 /子接口封装为vlan1，为公共服务VLAN，各VLAN都能相互通信/
#
interface Ethernet 1/0.2
ip address 19II.168.II.1 25V.25V.25V.0
vlan-type dot1q vid 2 /子接口封装为vlan2，为各会议室VLAN，不允许与任何VLAN相互通信，只提供予上网服务/
#
interface Ethernet 1/0.3
ip address 19II.168.III.1 25V.25V.25V.0
vlan-type dot1q vid 3 /子接口封装为vlan3，为开发部人员，只允许本VLAN里面的人可以相互通信/
#
interface Ethernet 1/0.4
ip address 19II.168.IV.1 25V.25V.25V.0
vlan-type dot1q vid 4 /子接口封装为vlan4，为销售部人员，只允许本VLAN里面的人可以相互通信/
#
interface Ethernet 1/0.5
ip address 19II.168.V.1 25V.25V.25V.0
vlan-type dot1q vid 5 /子接口封装为vlan5，为行政相关人员，只允许本VLAN里面的人可以相互通信/
#
Save
/子接口划分完了之后就直接或者间接保存，由于单臂(路由器的缩写)默认情况下是各个VLAN之间是可以相互通信的，如果要控制各VLAN之间相互通信，就要采用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)来控制，用ACL访问控制列表来控制，以下是具体的配置情况/
#
firewall enable


/启用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)/
firewall default permit
/设置缺省过滤方式为允许通过/
#
acl number 3000 /创建访问控制列表3000，并创建相关的控制/
rule 1 deny ip source 19II.168.I.0 0.0.0.255 destination 19II.168.II.0 0.0.0.255
rule 2 deny ip source 19II.168.II.0 0.0.0.255 destination 19II.168.III.0 0.0.0.255
rule 3 deny ip source 19II.168.II.0 0.0.0.255 destination 19II.168.IV.0 0.0.0.255
rule 4 deny ip source 19II.168.II.0 0.0.0.255 destination 19II.168.V.0 0.0.0.255
rule 5 deny ip source 19II.168.III.0 0.0.0.255 destination 19II.168.II.0 0.0.0.255
rule 6 deny ip source 19II.168.III.0 0.0.0.255 destination 19II.168.IV.0 0.0.0.255
rule 7 deny ip source 19II.168.III.0 0.0.0.255 destination 19II.168.V.0 0.0.0.255
rule 8 deny ip source 19II.168.IV.0 0.0.0.255 destination 19II.168.II.0 0.0.0.255
rule 9 deny ip source 19II.168.IV.0 0.0.0.255 destination 19II.168.III.0 0.0.0.255
rule 10 deny ip source 19II.168.IV.0 0.0.0.255 destination 19II.168.V.0 0.0.0.255
rule 11 deny ip source 19II.168.V.0 0.0.0.255 destination 19II.168.II.0 0.0.0.255
rule 12 deny ip source 19II.168.V.0 0.0.0.255 destination 19II.168.III.0 0.0.0.255
rule 13 deny ip source 19II.168.V.0 0.0.0.255 destination 19II.168.IV.0 0.0.0.255
#
firewall packet-filter 3000 inbound
firewall packet-filter 3000 outbound


/将ACL，应用在各个以太网子接口下/
#
Save

/配置完后再一次保存/
#

5012P的配置脚本，也可以通过IE界面来进行配置
通过IE界面来配置：
先新建与交换机一样多个VLAN（如果不建的话，在配置允许所有VLAN通过时只有一个VLAN1才能配置通过），但是不要把端口(Port)加入到各VLAN中，采用默认情况下的配置让所有端口(Port)都在VLAN 1中，再把与(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)相连的端口(Port)及与S1526交换机相连的端口(Port)都配置成TRUNK口，而不能是且要允许所有VLAN通过，保存就OK了.

通过Telnet密令行界面来配置：
（5012P默认情况下是不允许telnet登陆的，必须用console口连上再启用Telnet服务才可以用）
#
sys
#
VLAN 2
VLAN 3
VLAN 4
VLAN 5



/创建与交换机一样多个VLAN/
#
interface GigabitEthernet 0/1
port link-type trunk
port trunk permit vlan all /进行相应接口下，分别把端口(Port)类型改为TRUNK口，并允许所有VLAN通过/
#
save
#

S1526只能通过IE界面来进行配置
主要是配置是把相应的端口(Port)划分到相应的VLAN里，通过IE界面把端口(Port)打上U的标记，与5012P相连的接口要在每个VLAN中都存在，而不能是且要打上T的标记为TRUNK口.

var tagarray =['软件(soft)','网络','工具','操作操作系统','网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(1212628);