某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。
内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。
三个部门的机器均使用动态IP上网,服务器使用静态IP上网。
ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。
1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。
2960作为二层交换机,划分VLAN。
部门一 FE0/1-8: 绑定VLAN10
部门二 FE0/9-16:绑定VLAN20
部门三 FE0/17-24:绑定VLAN30
干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过
服务器 GE0/1: 绑定VLAN100
FE0/0:WAN接口、IP为1.1.1.1
FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址,
FE0/1.1:绑定VLAN10,IP为192.168.1.1/24
FE0/1.2:绑定VLAN20,IP为192.168.2.1/24
FE0/1.3:绑定VLAN30,IP为192.168.3.1/24
FE0/1.4:绑定VLAN100,IP为192.168.100.1/24
以下为完整设置命令,有详细注释,设备均已恢复出厂设置
Switch>enable
Switch#configure terminal
- Switch(config)#interface range FastEthernet 0/1-8 %端口组FE0/1-8
-
- Switch(config-if-range)#switchport mode access
-
- Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10
-
- Switch(config-if-range)#exit