enable
config t
int fa 1
no shut
int fa 2
no shut
exit
int fa 1.1
encap dot1q 1 native
exit
int fa 1.2
encap dot1q 100
ip address 172.16.1.1 255.255.255.0
exit
int fa 2.1
encap dot1q 1 native
exit
int fa 2.2
encap dot1q 2
ip address 172.16.2.1 255.255.255.0
exit
int fa 2.3
encap dot1q 3
ip address 172.16.3.1 255.255.255.0
exit
int fa 2.4
encap dot1q
ip address 172.16.4.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 172.16.1.254
exit
end

2948G-L3的配置，1口连PIX，IP=172.16.4.254，2口接3个VLAN，172.16.（2-4）.0/24，三个VLAN在一个傻交换机上（非网管），能通吗，我没有把握？　　　　　　

enable
config t
int fa 1
no shut
int fa 2
no shut
exit
int fa 1.1
encap dot1q 1 native
ip address 172.16.1.1 255.255.255.0
exit
int fa 2.2
encap dot1q 2
ip address 172.16.2.1 255.255.255.0
exit
int fa 2.3
encap dot1q 3
ip address 172.16.3.1 255.255.255.0
exit
int fa 2.4
encap dot1q
ip address 172.16.4.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 172.16.1.254
exit
end


我就怕这傻交换机给我出难题啊！！！　　　　　　

当然不通了，802.1q帧格式傻交换机不会认识的，通常的做法，是把配制成trunk的接口连接的其他设备的trunk接口上，按照你的说法。只能使用桥接口的方式。（但不是物理隔断，只是ip层逻辑隔断）　　　　　　

其实说那交换机傻也不傻，1924，但不是EN，升级可以支持Vlan，可是他们不愿意升级，我也没招。
您说的桥接可以，不知道怎么配，是Vlan的桥接？还是就是2948G-L3的直接桥接啊？能给我配置吗？谢谢！　　　　　　

1924也可以划分vlan和支持trunk但1924的trunk只支持isl封装，所以你完全可以将2948也封装成isl这样相当于把2948的vlan延伸到1924上了。到此链路层应该已经部署完成，（多个vlan在2948上被汇接）对于这些vlan中的用户节点，他们的默认网关应当是2948对应的子接口ip地址。请再次确认在你的2948上的ip routing被启动，如果你在2948上使用了桥命令,那一定要将ip从可桥接的协议中排除（否则就是通不了）。
仔细观察路由表，如果正确的话应当是，所有的内部vlan地址段都是直接连接的网络，0.0.0.0 网络是静态制定的，并且下一跳地址在firewall的安全接口，同时firewall中也应该有一条或者若干跳路由，首先是到internet的（0.0.0.0)这条路由的下一跳应当是你的internet接入路由器的ethernet接口（此时firewall外接口和accessrouter的ethernet接口被分配的都应当是全局地址（internet可达的地址）并且他们应当在同一个网段。这一点正确后，接着检查firewall还应有几条针对每个内部vlan的独立路由这些路由的下一跳地址都应是2948上连接防火墙的那个接口地址（据我所知firewall是不支持trunk的，所以trunk只能被终结在2948上）这时如果还是无法连通问题多半在防火墙的策略上了。　　　　　　

问题已经搞定！谢谢！我的1924不是En（企业版）是A，所以不支持Vlan,我看了Cisco网站上的介绍，而且升级很麻烦！

[已被 Terran 编辑过, 在 2001-11-26  15:27]