CISCO3650交换机两个VLAN之间不能互通。

cisco3560 我如果想让vlan3-8之间不能互相访问,但是都可以访问vlan2,怎么配置?~

如一楼所说，可以使用Vlan访问控制策略（Vlan-Filter）来实现Vlan间的访问控制。
而根据你的应用，因为限制的是双向的通信，例如Vlan3与Vlan8不能互访，所以单纯使用ACL就可以了，并且配置简单；
如果是单向的控制，例如Vlan3可访问Vlan8，而Vlan8不能访问Vlan3，此时就可以用到Vlan-Filter。

以下方法是单纯地利用ACL来实现VLAN间的访问控制，配置如下：

假设VLAN地址划分如下：
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24
Vlan7:192.168.7.1/24
Vlan8:192.168.8.1/24

第一步：VLAN间路由
3560(config)#ip routing
//使得VLAN间互访，若不制定，就不能实现Vlan2与其他Vlan的互访

第二步：ACL制定
ip access-list standard V3 //制定ACL命名为"V3"
permit 192.168.2.0 0.0.0.255 //允许192.168.2.0/24网段，其他网段则默认禁止
ip access-list standard V4
permit 192.168.2.0 0.0.0.255
ip access-list standard V5
permit 192.168.2.0 0.0.0.255
ip access-list standard V6
permit 192.168.2.0 0.0.0.255
ip access-list standard V7
permit 192.168.2.0 0.0.0.255
ip access-list standard V8
permit 192.168.2.0 0.0.0.255

//V3、V4...V8策略分别要应用于Vlan3、Vlan4...Vlan8中，Vlan2的访问没有限制
//ACL策略一旦应用了，未注明的都是默认禁止的，所以这里只写出允许Vlan2的地址段，其他地址段的通信都是默认禁止的

第三步：ACL应用到Vlan中
interface Vlan2
ip address 192.168.2.1 255.255.255.0 //Vlan2没有ACL策略
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group V3 out //将访问控制列表“V3”应用到Vlan3中，针对的是来自Vlan3以外的通信，所以选择“out”
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
ip access-group V4 out
!
interface Vlan5
ip address 192.168.5.1 255.255.255.0
ip access-group V5 out
!
interface Vlan6
ip address 192.168.6.1 255.255.255.0
ip access-group V6 out
!
interface Vlan7
ip address 192.168.7.1 255.255.255.0
ip access-group V7 out
!
interface Vlan8
ip address 192.168.8.1 255.255.255.0
ip access-group V8 out

你这属于单向访问，可以写如下的acl
Switch(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
Switch(config)#access-list 100 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Switch(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Switch(config)#access-list 100 permit ip any any

应用到vlan2的in方向：

Switch(config)#int vlan 2
Switch(config-if)#ip access-group 100 in

这是我做好的，参考一下：

最简单的方法，如果没有其他需求只要pc互通的话。int vlan1跟int vlan 2都在同一台交换机上，是有路由的，开启了ip routing就能互通，思路是将pc的默认网关指向int vlan 1，3650收到数据包后查找路由表实现转发，ping通。
en
conf t
ip routing(开启三层功能）
vlan 1（创建Vlan）
vlan 2
int range fa0/1-10
sw mo a
sw ac vl 1（将接口设置为access模式，划入相应vlan，不然int vlan起不来）
int ran fa0/11-20
sw mo a
sw a vl 2
int vlan 1
ip add 192.168.1.254 255.255.255.0
no sh
int vl 2
ip add 192.168.2.1 255.255.255.0
no sh
PC端配上ip地址，掩码，网关指向192.168.1.254

en //进入全局模式
conf t //进入配置模式
router ospf 1 //开始设备路由工作
network 192.168.1.0 0.0.0.255 a 0 //通告vlan1 的路由
network 192.168.2.0 0.0.0.255 a 0 //通告vlan2 的路由
exit
copy run start
这样就可以了，因为vlan是局域网，只能本网段的在这个vlan的能通信。需要不通vlan通信就要开始三层网络协议了

起3层就行（LS的别忘记接口下也要NO SWITCHPORT哦）：
图：PC:E0/0---SW1F0/1 SW1F0/0----SW2F0/0 SW2F0/1----PC2E0/0
PC1：IP地址 192.168.1.100 掩码255.255.255.0 网关192.168.1.254
PC2：IP地址 192.168.2.1 掩码255.255.255.0 网关192.168.2.254
交换机上：（两边都要做）
先在两台交换机连接的接口间起三层：
interface FastEthernet0/0
no switchport--------------起三层
ip address 192.168.12.1 255.255.255.0-----------配IP（SW1 12.1 SW2 12.2）
no sh
将连PC的接口划入VLAN：
interface FastEthernet0/1
sw mo acc---------改成ACCESS模式
switchport access vlan 10-------------划入VLAN10（SW2上VLAN20）
no ip address
配置VLAN管理地址（相当于PC的网关）
interface Vlan10（SW2进入VLAN20）
ip address 192.168.1.254 255.255.255.0（SW2 2.254）
起一个路由协议：
router ospf 1-------启用OSPF协议进程
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0---------宣告网络1.0（SW2宣告2.0）
network 192.168.12.0 0.0.0.255 area 0----------宣告12.0

PING通：
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 24/56/88 ms
r1#ping 192.168.2.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/61/104 ms
r1#

CISCO 3650是三层交换机
confi t
inter vla 1
ip add 192.168.1.254 255.255.255.0
no shu
exit
inte vla 2
ip add 192.168.2.1 255.255.255.0
no shu
exit
inter fas range 0/1 - 10
switch mode acc
swi acc vla 1
exit
inter fas range 0/11 - 20
switch mode acc
swi acc vla 2
exit
ip routing

以上命令绝对可以，你试试。

VLAN2的接口必须接一台活动主机，才能使vlan2的虚拟interface起来。你才能ping通这个虚拟三层地址。

---

宁江区13582686102： 思科交换机,两台,上面连的同名vlan用什么命令,进行连通 - ？
苦卷欧斯： 网线可以互连即可,如果是三层交换机,将一个设置为VTP SERVER,另一个设置为VTP CLIENT,让VLAN信息自动学习.

宁江区13582686102： 思科 3650 的交换机vlan设置方法 - ？
苦卷欧斯： int vlan 1 ip add 10.10.10.1 255.255.255.0 (交换机管理地址)vlan 10name (vlan命名)vlan 20name (vlan命名)int vlan 10ip add 192.168.10.1 255.255.255.0(vlan10 网关IP)int vlan 20ip add 192.168.20.1 255.255.255.0(vlan20 网关ip)int range f0/1 ...

宁江区13582686102： 一台交换机上两个VLAN怎么ping通 - ？
苦卷欧斯： 如果两个VLAN的网关都在这个交换机上的话,直接就可以通,如果这个是纯二层交换机的话,没办法互通,想让两个vlan联通的根本办法就是有路由.

宁江区13582686102： 两台思科3560三层交换机vlan间如何实现互访? - ？
苦卷欧斯： 解决的方法就是,在其中一台思科3560三层交换机上(哪一台都无所谓,因为你在两台三层交换机之间的链路,是二层的Trunk链路.而trunk是承载多VLAN流量的),添加两个SVI(Switch Virtual Interface )接口(假设你之前没有添加过).在...

宁江区13582686102： cisco 3560上建立了两个vlan(1和20),vlan的ip地址都配置了,为什么不能通信啊????? - ？
苦卷欧斯： 不同vlan之间不能通信,如果想通信在路由器上配置单臂路由或者在三层交换机上配置

宁江区13582686102： 思科3560交换机配置vlan - ？
苦卷欧斯： 5.0vlan 和 10.0vlan 两个互通是吧,只要给vlan配置个IP地址,然后将这个地址作为PC的网关地址,在3560里只要打上 IP Routing 就可以了.就是开启3560的路由功能 ip routing 是在config模式下打不是在接口模式下Switch#en Switch#configure...

宁江区13582686102： 怎么在CISCO的交换机设置一个端口可以同时访问两个VLAN - ？
苦卷欧斯： 把端口配置成Trunk,并允许所有VLAN通过,另外的交换机链接到TRUNK口

宁江区13582686102： cisco 3650 VLAN划分求设置 - ？
苦卷欧斯： 这怎么说..对应交换机的哪些接口,就划呗.Switch>en (进入特权模式) Switch#conf t (进入全局配置模式) Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#int f0/1 (进入交换机fastethernet0/1接口) Switch(...

宁江区13582686102： 思科2950交换机能将一个端口划分多个vlan吗 - ？
苦卷欧斯： 朋友你好,思科交换机一般是不能将一个端口划分到多个vlan的,唯一一个例外是端口配置了switchport voice vlan时(这时就有了数据vlan和语音vlan两个vlan).希望对你有用.祝你好运.

宁江区13582686102： 思科3650 通过IP划分VLAN - ？
苦卷欧斯： 直接创建vlan2 然后一个端口加进vlan2.然后把你125.216.229.0/24所用的线接到交换机口就行了,但是如果你这两个网段要通信的话,就麻烦一点了,