首先在三层交换机端口上no switchport,所有他下面的VLAN都属于直连网段,彼此间都能互相访问,然后做ACL来限制VLAN2 和VLAN3不可以互访。
例如:vlan2--F0/1(10.0.0.1) vlan3--f0/2(20.0.0.1) vlan3---f0/3(30.0.0.1)
Switch(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 20.0.0.0 0.255.255.255
Switch(config)#access-list 100 permit ip any any
Switch(config)#access-list 101 deny ip 20.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
Switch(config)#access-list 101 permit ip any any
建立这2个ACL 随便在F0/1或者F0/2应用一个 即可。
如果你那的中心设备不是3层,而是一个2950系列交换机的话,就只能做单臂路由,设置TRUNK,再路由器上做策略(也就是ACL),不过你这里的路由器好像功能也不是很强大啊!
nat
就是说你们公司的三层交换机是cisco2950的?别的都不是吧,你要在这个交换机上实现上边你说的要求?
如果是这样的话,是实现不了的,思科2950交换机是二层设备,没有路由功能.如果你们的核心路由是三层的话,我可以告诉你具体的配置.
PVLAN 这个技术。不明白问我。64573113 你百度下很多。1 楼的那个是个死办法。