我以前没有划分VLAN的实际经验,现准备划分VLAN,设备有:CISCO Catalyst 3650G和CISCO Catalyst 2950G。现有上网线路4条,网内用户大约500人,上网的用户仅限于少数几十人,且分布于不同的VLAN中。
假如我现在已经划分了四个VLAN,VLAN之间可以正常通信. VLAN信息如下:
VLAN 2: VLAN ID VLAN20,VLAN IP 172.16.2.254;
VLAN 3: VLAN ID VLAN30,VLAN IP 172.16.3.254;
VLAN 4: VLAN ID VLAN40,VLAN IP 172.16.4.254;
VLAN 5: VLAN ID VLAN50,VLAN IP 172.16.5.254.
上网线路可以正常使用, 防火墙的IP地址为172.16.1.1, 172.16.1.2, 172.16.1.3, 172.16.1.4.
现VLAN3中有三台电脑PC1,PC2和PC3, IP地址分别为172.16.3.1, 172.16.3.2, 172.16.3.3.
希望让PC1使用线路172.16.1.2上网, PC2使用线路172.16.1.1, PC3使用线路172.16.1.4, 请问如何做到?
------解决方案--------------------
没太看懂楼主的意思。
不知道你的交换机和防火墙是怎么连接的,怎么有这么多防火墙。最好详细说明下网络结构。
我们知道VLAN启用了IP后就启用了三层,启用三层的交换机上所有的路由默认都是打通的。
因此,要对用户做限制,最好只使用二层,使用三层需要用ACL控制,反而不方便。
如果只启用二层,将VLAN3透传到防火墙,并在防火墙相关端口(或子接口)上封装dot1q 30,配置好地址,所有VLAN3内的主机网关设置为防火墙的这个端口地址就可以了。同样,将其它防火墙也封装vlan30,为不同的主机设置设置不同的网关即可。
对限制上网的可通过ACL来控制下。
------解决方案--------------------
从描述中貌似你说的上网线路指的是接入网?你有四条接入网,并且出口设备是防火墙?
如果是这样要具体到不同电脑走不同的线路,可以用策略路由来实现
不知道你的网络拓扑是什么样的
如果防火墙支持,可以直接在防火墙里面设置策略路由
如果下联有三层核心交换机
可以在核心交换的进口上做策略路由
配置应该是很简单的
------解决方案--------------------
在路由器上使用静态NAT
把需要上网的3个PC的私有IP地址转化为可以上网的公有IP地址。
------解决方案--------------------
楼上建议不错,就是不知道用户有没有那么多public ip
建议采用PBR。比如pC1----防火墙1
access-list 100 per ip pc1 any
route-map pc1 per 10
match add 100
next-hop 防火墙1
把route-map用到vlan2
int vlan2
ip policy-map pc1
思路就是这样,具体命令各个厂商设备会有不同