南京化工职业技术学院毕业设计（论文）

理域名称OA

switch # (vlan)#vtp server 设置交换机为服务器模式

switch # (vlan)#vlan 1 name qinye 创建VLAN 1，为勤业部

switch # (vlan)#vlan 2 name xingzheng 2，为行政部

switch # (vlan)#vlan 3 name yanfa 3，为研发部

switch # (vlan)#vlan 4 name netprinter 为网络打印机

switch # (vlan)#vlan 5 name server 为服务器组

switch # (config)#interface vlan 1 switch # (config-if)#ip address 255.255.255.0

switch # (config)#interface vlan 1 switch # (config-if)#ip address 255.255.255.0

switch # (config)#interface vlan 3 switch # (config-if)#ip address 255.255.255.0

- 22 -

创建VLAN 创建VLAN 创建VLAN 4，创建VLAN 5，192.168.42.254

192.168.40.254

192.168.41.254

南京化工职业技术学院毕业设计（论文）

switch # (config)#interface vlan 4 switch 255.255.255.0

switch # (config)#interface vlan 5 switch 255.255.255.0

将接入层交换机上的端口根据需要划分至各个VLAN switch # (config-if)#exit 4.3.3配置ACL

配置ACL 应用在各个部门VLAN接口上，控制各部门互访

switch> switch > enable switch #config

switch(config)#access-list 10 permit 192.168.2.0 0.0.0.255 switch(config)#access-list 0.0.0.255

switch(config)#access-list 10 deny 192.168.0.0 0.0.255.255 switch(config)#access-list 10 permit any 进入vlan 10

switch(config)# vlan 10

switch(config-vlan)#ip access-group 10 out

- 23 -

# (config-if)#ip address 192.168.30.254

# (config-if)#ip address 192.168.2.254

10 permit 192.168.30.0

南京化工职业技术学院毕业设计（论文）

把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。

switch(config-vlan)#access-list 11 permit 192.168.2.0 0.0.0.255

switch(config-vlan)#access-list 11 permit 192.168.30.0 0.0.0.255

switch(config-vlan)#access-list 11 permit 192.168.42.0 0.0.0.255

switch(config-vlan)#access-list 0.0.255.255

switch(config-vlan)#access-list 11 permit any switch(config-vlan)#exit 进入vlan 11

switch(config-vlan)#switch(config)# vlan 11 switch(config-vlan)#ip access-group 11 out

把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。

设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。

- 24 -

11 deny 192.168.0.0

南京化工职业技术学院毕业设计（论文）

switch(config-vlan)#access-list 110 deny tcp any any eq 1068

switch(config-vlan)#access-list 110 deny tcp any any eq 2046

switch(config-vlan)#access-list 110 deny udp any any eq 2046

switch(config-vlan)#access-list 110 deny tcp any any eq 4444

switch(config-vlan)#access-list 110 deny udp any any eq 4444

switch(config-vlan)#access-list 110 deny tcp any any eq 1434

switch(config-vlan)#access-list 110 deny udp any any eq 1434

switch(config-vlan)#vaccess-list 110 deny tcp any any eq 5554

switch(config-vlan)#vaccess-list 110 deny tcp any any eq 9996

switch(config-vlan)#access-list 110 deny tcp any any eq 6881

switch(config-vlan)#access-list 110 deny tcp any any eq 6882

- 25 -