我作过的案例是，甲方是3550EMI的设备，小公司，机器比较少的。我在3550上起路由，然后配置VACL，可以做到：
1、大家都能通过公共电信线路上网
2、各个VLAN间不允许访问
3、VLAN内部可以访问(这个就要多写了几条语句，不写，vlan内是不同的)
4、控制可以跨VLAN的机器的访问，或放在公共区域，让所有VLAN访问，或写ACL控制某几个VLAN访问。
我的做法是：
vlan1 192.168.18.0/28是公共区域
其它的vlan如acl所示，公9个
#sh ip access-list
Extended IP access list 100
10 permit ip any 192.168.18.0 0.0.0.15
20 permit ip 192.168.18.0 0.0.0.15 any
30 permit ip 192.168.18.240 0.0.0.15 192.168.18.240 0.0.0.15
40 permit ip 192.168.18.32 0.0.0.15 192.168.18.32 0.0.0.15
50 permit ip 192.168.18.16 0.0.0.15 192.168.18.16 0.0.0.15
60 permit ip 192.168.18.128 0.0.0.31 192.168.18.128 0.0.0.31
70 permit ip 192.168.18.48 0.0.0.15 192.168.18.48 0.0.0.15
80 permit ip 192.168.18.64 0.0.0.15 192.168.18.64 0.0.0.15
90 permit ip 192.168.18.80 0.0.0.15 192.168.18.80 0.0.0.15
100 permit ip 192.168.18.96 0.0.0.31 192.168.18.96 0.0.0.31
110 permit ip 192.168.18.176 0.0.0.15 192.168.18.176 0.0.0.15
Extended IP access list 101
10 permit ip 192.168.18.0 0.0.0.255 192.168.18.0 0.0.0.255
#sh vlan access-map
Vlan access-map "group"  20
Match clauses:
ip  address: 100
Action:
forward
Vlan access-map "group"  30
Match clauses:
ip  address: 101
Action:
drop
Vlan access-map "group"  40
Match clauses:
Action:
forward

VLAN的划分
VLAN(virtual local area
network):虚拟局域网
划分方法->相关协议->基本配置->VLAN间路由
为了提高网络的性能和更安全的管理网络,可以将一个物理网络逻辑的划分成多个vlan,每个vlan都属于不同的广播域,vlan间隔离广播可以提高较大规模网络的性能.
划分方法:
1.基于端口划分的VLAN.
2.基于MAC地址划分的VLAN.
3.基于网络层划分的VLAN.
4.根据IP组播划分的VLAN.
大部分交换机采用基于端口划分的VLAN.
相关协议:
VLAN可以跨越多个交换机,需要一条干道(trunk)将两个交换机连接起来,这个干道可以传输多个VLAN的数据.
做为连接trunk的的端口至少要100M才可以被配置成为干道.
VLAN的数据要在多个交换机之间传输并且维护VLAN的信息,需要协议的支持.
ISL(Inter Switch
Link)是cisco专有的协议,用来各个交换之间维护VLAN信息和封装相关数据,在1900上采用.
IEEE 802.1q
虚拟桥接局域网标准,2900及以上交换机支持此协议.
为了维护网络上VLAN的信息的统一,cisco采用VTP协议(Vlan trunk
protocol)对VLAN的信息通告和配置.
VTP工作模式有三种:
1.服务器模式(Server):可创建,删除,转发,保存VLAN信息.
2.客户机模式(Client):不可创建,不可删除,可转发VLAN信息.
3.透明模式(Transparent):不接受,不发送,可创建,可删除VLAN信息.
VTP修剪(pruning):开启修剪后VLAN的信息不会发送到没有此VLAN接口的相关设备上.
配置VLAN:
基本原则:
1.确定交换机支持的最大的VLAN数.
2.预置的VLAN号码.1900系列交换机把交换机和默认没划分的端口都放置在VLAN1中,1002,1003,1004,1005是
特殊用途的VLAN号码.
3.CDP,VTP和IP地址对VLAN1有效.
基本步骤:
1.开启相应端口的vtp协议.
2.打开相应端口的Trunk功能.
3.创建VLAN.
4.加入VLAN.
基本命令(catalyst 1900):
Switch(config)#vtp
server 修改VTP模式为server模式.也可以是client和transparent.
Switch(config)#vtp domain
test 设置vtp的域的名字为test,多个交换机要在同一个vtp域中才可以.
Switch(config)#vtp pruning
enable 开启vtp修剪功能.
Switch(config)#vtp password
123 如果设置了密码那么多个交换机就要有相同的密码才可以.
Switch#show vtp
Switch(config-if)#trunk
on 打开相应干道借口的trunk功能.
Switch#show trunk
A 查看trunk信息,1900交换的FastEthernet
26号端口编号为A,27号为B.
Switch(config)#vlan 2 name
lab 创建vlan2 名字为lab 如果省略name则默认名字为0002
Switch(config-if)#vlan-membership static
2 将接口加入VLAN2
Switch#show
vlan-membership 查看各接口所在VLAN
Switch#show
vlan 查看vlan 信息
Switch#show vlan
2 查看vlan2信息
基本命令(catalyst 2950):
Switch(config-if)#switchport mode
trunk 打开端口的trunk功能
Switch#show interface fastethernet 0/1
switchprot 查看接口的模式
Switch#vlan
database 进入vlan 模式
Switch(vlan)#vlan 2 name
lab 建立vlan2名字为lab
Switch(vlan)#vtp
pruning 开启vtp修剪
Switch(vlan)#exit 退出vlan模式并保存信息
Switch#show vtp
status 查看vtp信息
Switch#delete
vlandatabase 删除vlan配置信息
Switch(config-if)#switchport access vlan
2 把相应接口加入vlan2
Switch#show vlan
brief 查看vlan信息
VLAN间的路由:
1.去掉路由器上连接交换机的端口的IP地址.
2.定义连接交换机的端口的子接口的地址.
3.在子接口上封装相关的vlan协议信息.
4.开启交换与路由相连的接口的trunk功能.
基本命令:
Router(config)#interface fasternetnet
0/0.1 进入子接口,子接口号码从0.1开始.
Router(config-sub)#ip address 192.168.0.1
255.255.255.0 定义子接口IP地址,同样定义另外一个子接口的
IP地址,注意两个VLAN要在不同的网段,因为一个路由器的接口不允许有相同的网段的IP地址.
Router(config-sub)#encapsulation dot1q
2 封装IEEE 802.1q
协议到vlan2,也可以是ISL协议.
子接口的IP属于哪个VLAN就封装为哪个vlan的号码.
然后在客户机上把网关指向同网段的子接口的IP就可以实现不同的vlan间通信.

在交换以太网的环境下，一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下，我们可能会需要进行这样的侦听，如：协议分析、流量分析、***检测。为此我们可以设置Cisco交换机的SPAN 
(Switched Port Analyzer交换端口分析器)特性, 
或早期的“端口镜像”、“监控端口”功能。侦听的对象可以是一个或多个交换机端口，或者整个VLAN。如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端口”)在同一台交换机上，我们只需配置SPAN; 
如果不在同一台交换机上，需要配置RSPAN (Remote SPAN)。
把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因
思科端口镜像类型
SPAN指源和目的端口都在同一台机
RSPAN指源和目的端口不在同一台机
VSPAN可以镜像整个或数个VLAN到一个目的端口
我们用端口镜像1来镜像3-23号端口
monitor session 1 source interface Gi1/0/3 - 23 
monitor session 1 destination interface Gi1/0/1
镜像端口2来镜像24号端口
monitor session 2 source interface Gi1/0/24 
monitor session 2 destination interface Gi1/0/2

思科Pvlan实验
PVLAN的2种VLAN：
主要VLAN(Primary VLAN)：把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口。
辅助VLAN(Secondary VLAN)：辅助VLAN包含两种VLAN类型：
隔离VLAN(Isolated VLAN)：把流量从隔离端口传送到一个混杂端口。隔离VLAN中的端口，使其不能与PVLAN(另一个团体VLAN端口或相同隔离VLAN内的端口)内部的任何其它端口进行第2层通信。若要与其它端口通信，则必须穿越混杂端口。
团体VLAN(Community VLAN)：在相同团体VLAN内部的团体端口之间传送流量并传送到混杂端口，团体VLAN内的端口可以在第2层彼此通信(只是在相同团体VLAN内部)，但是不能与其它团体或隔离VLAN的端口进行通信。若要与其它端口进行通信，则必须穿越混杂端口。
第一步：交换机中配置vlan
Switch(config)#vlan 10,100,200
Switch(config-vlan)#exit
Switch(config)#
第二步：配置交换机的vtp模式为transparent
Switch(config)#vtp mode transparent
Setting device to VTP Transparent mode for VLANS.
Switch(config)#
第三步：配置主vlan 10和辅助vlan 100 200
Switch(config)#vlan 10
Switch(config-vlan)#private-vlan primary //将 vlan 10定义为主vlan
Switch(config-vlan)#private-vlan association 100,200 //将 流量传输到vlan 100,200
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan community //定义vlan 100为团体vlan
Switch(config-vlan)#exit
Switch(config)#vlan 200
Switch(config-vlan)#private-vlan isolated //定义vlan 200为隔离vlan
Switch(config-vlan)#exit
第四步：配置接口
Switch(config)#interface range eth0/0-1
Switch(config-if-range)#switchport private-vlan host-association 10 100 //关联二层口与私有VLAN
Switch(config-if-range)#switchport mode private-vlan host //配置为二层交换模式
Switch(config-if-range)#exit
Switch(config)#interface range eth0/2-3
Switch(config-if-range)#switchport private-vlan host-association 10 200
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#exit
Switch(config)#interface eth1/0
Switch(config-if)#switchport mode private-vlan promiscuous //定义为混杂接口类型
Switch(config-if)#switchport private-vlan mapping 10 100,200
Switch(config-if)#exit
配置IP地址
VPCS> set pcname VPC1
VPC1> ip 192.168.1.1/24 192.168.1.254
VPCS> set pcname VPC2
VPC2> ip 192.168.1.2/24 192.168.1.254
VPCS> set pcname VPC3
VPC3> ip 192.168.1.3/24 192.168.1.254
VPCS> set pcname VPC4
VPC4> ip 192.168.1.4/24 192.168.1.254
VPCS> set pcname VPC5
VPC5> ip 192.168.1.5/24 192.168.1.254
测试如下：
VPC1去ping VPC2的时候是可以通的，因为是团体vlan
VPC3去ping VPC4的时候是不通的，因为是团体vlan
VPC1去ping VPC3的时候是不通的，因为不同的从vlan
VPC1去ping VPC5的时候是可以通的，因为是去往混杂vlan，也就是主vlan是通的
VPC3去ping VPC5的时候是可以通的，因为是去往混杂vlan，也就是主vlan是通的
由此可以得到
团体vlan之间的终端是在二层里面可以通信的
隔离vlan之间的终端在二层里面是不可以通信的
去往混杂vlan的通信是不受阻碍的，可以互相通信。