如何让vlan10可以上互联网且能访问到8.8.8.8，但是vlan20访问不了

为了让VLAN10能够上互联网并访问8.8.8.8（Google DNS），同时限制VLAN20的网络访问，你需要配置交换机的VLAN划分以及IP路由策略。以下是基本步骤：

1. **设置VLAN**: 首先，在交换机上创建两个VLAN，分别为VLAN10和VLAN20，并分配各自的IP地址范围。

   VLAN10: IP地址段（例如192.168.1.0/24），网关可能是192.168.1.1
   VLAN20: IP地址段（例如192.168.2.0/24）

2. **配置端口属性**: 将相应的物理接口划入VLAN，比如`interface FastEthernet0/1`连接到VLAN10，`FastEthernet0/2`连接到VLAN20。

3. **配置IP路由**: 在交换机上为每个VLAN配置一条默认路由，使得VLAN10可以从路由器获取Internet路由。

   ip route 0.0.0.0 0.0.0.0 (路由器IP地址) 或者 默认gateway所在接口的IP地址

4. **限制VLAN20的访问**: 如果需要，可以配置访问控制列表（ACL, Access Control List）或安全组，只允许VLAN10的流量出接口去往互联网，而禁止VLAN20的流量。

5. **验证访问**:
- 检查VLAN10是否可以ping通8.8.8.8，如果可以，则说明网络配置正常。
- 从VLAN20尝试ping8.8.8.8，如果不通则表示访问控制成功。

相关问题

fortigate防火墙配置了DNS数据库，DNS服务器配置了8.8.8.8转发器，但还是无法解析google网址，依旧向默认DNS发送请求，而不发送给DNS服务器。

这个问题可能是因为Fortigate防火墙没有正确配置DNS服务器或者DNS数据库。下面是一些排查步骤：

1. 确认Fortigate防火墙已经正确配置了DNS服务器和DNS数据库，并且已经将其应用到了相应的接口或者VLAN。

2. 确认DNS服务器已经正确配置了8.8.8.8转发器，并且已经可以正常解析其他的域名。

3. 确认Fortigate防火墙和DNS服务器之间的网络连接正常，可以互相通信。

4. 在Fortigate防火墙上使用命令行工具nslookup或者dig测试解析google网址，看是否可以正确解析。如果可以，那么问题可能是在客户端上，需要清除客户端的DNS缓存。

5. 如果以上步骤都没有解决问题，可以尝试重启Fortigate防火墙和DNS服务器，并重新配置DNS服务器和DNS数据库。

希望以上步骤可以帮助你解决问题。

用思科模拟器做出下列实验并写出实验步骤1、全网可达，PC0可以访问PC8；所有PC自动获取IP地址；内网采用ospf协议；外网采用rip协议 2、全网中仅存在一台DNS服务器，即公网服务器 3、vlan2、3、4，不能访问外网HTTP服务，域名及IP地址均不能访问,但是可以访问www.yckjxy.com(通过域名访问) 4、其他设备可通过域名访问www.jiaoyuwang.com 5、PC8（即外网PC可访问www.yckjxy.com）,还可远程登陆至内网服务器直连路由器进行相关配置 6、vlan2 不能与VLAN200 通信 7、内网所有路由器配置远程登陆，统一由vlan2中的PC远程登陆，其他VLAN中的PC无法远程登陆至路由器 三、实验环境 Cisco模拟器

1. 实验步骤：
（1）创建网络拓扑：在思科模拟器中创建6个路由器和10个PC，并连接起来。
（2）配置PC自动获取IP地址：在所有PC上执行以下命令：ip address dhcp。
（3）配置OSPf协议：在所有路由器上执行以下命令：router ospf 1，network 0.0.0.0 255.255.255.255 area 0。
（4）配置RIP协议：在外网路由器上执行以下命令：router rip，version 2，network 0.0.0.0。
（5）在PC0上执行以下命令：ping 192.168.3.8，确认PC0可以访问PC8。

2. 实验步骤：
（1）创建公网DNS服务器：在思科模拟器中创建一台服务器，并配置为DNS服务器。
（2）在所有PC上执行以下命令：ip name-server 8.8.8.8，将DNS服务器设置为公网DNS服务器。

3. 实验步骤：
（1）在所有路由器上执行以下命令：access-list 101 deny tcp any any eq 80，access-list 101 deny ip any host 192.168.2.10，access-list 101 deny ip any host 192.168.3.10，access-list 101 permit ip any any。
（2）在所有vlan2、3、4中的PC上执行以下命令：ip route 0.0.0.0 0.0.0.0 192.168.2.1。
（3）在vlan2中的PC上执行以下命令：ip route www.yckjxy.com 255.255.255.255 192.168.2.2。
（4）在vlan2、3、4中的PC上执行以下命令：ping www.yckjxy.com，确认可以访问www.yckjxy.com。

4. 实验步骤：
（1）在所有PC上执行以下命令：ip route www.jiaoyuwang.com 255.255.255.255 192.168.2.2。
（2）在vlan2、3、4中的PC上执行以下命令：ping www.jiaoyuwang.com，确认可以访问www.jiaoyuwang.com。

5. 实验步骤：
（1）在外网路由器上执行以下命令：ip nat inside source static 192.168.3.8 202.100.1.1。
（2）在PC8上执行以下命令：ping www.yckjxy.com，确认可以访问www.yckjxy.com。
（3）在内网服务器上执行以下命令：ssh -l admin 192.168.3.1，远程登陆至内网服务器直连路由器进行相关配置。

6. 实验步骤：
（1）在vlan2的路由器上执行以下命令：interface vlan2，ip access-group 101 in。
（2）在vlan200的路由器上执行以下命令：interface vlan200，ip access-group 101 in。
（3）在vlan2中的PC上执行以下命令：ping 192.168.200.1，确认不能与VLAN200通信。

7. 实验步骤：
（1）在所有路由器上执行以下命令：line vty 0 4，login，password cisco，transport input ssh。
（2）在vlan2中的PC上执行以下命令：ssh admin@192.168.2.1，远程登陆至内网服务器直连路由器进行相关配置。
（3）在其他VLAN中的PC上执行以下命令：telnet 192.168.2.1，无法远程登陆至路由器。