在智能化行业已经有多年的工作经验,知道各位项目经理在综合布线,实施方面都有丰富的经验,但碰到网络就头疼,特别是可网管的交换机,没有web界面的就头疼,小编以前在做工厂物联网的时候,走访过很多大厂的机房,发现很多大厂的机房网管交换机啥都不配,很多功能,都没启用,甚至还有些交换机就放旁边,电都没上,询问之后才知道工厂的技术能力有限,不会配置,现在小编以华三交换机为例,举一个实际项目,一步一步教大家如何配置,如果基础不够可以看小编以前写的文章带菜鸟起飞-从零开始配置交换机。
1.1组网需求
某研发公司下有三个部分,分别为研发部、市场部、设计部。三个部门共处一个办公楼内,研发部和市场部办公区域分开;因工作需要,设计部和研发部部分员工使用混合办公区域。除设计部的员工使用Apple主机外,其余部门员工均使用系统主机。要求利用VLAN技术管理各部门的网络权限,实现以下的访问需求:
①各部门内部的员工之间均可以互相通信,部门间不能进行通信。
② 研发和市场部分处不同的IP网段,由Core-自动分配地址。
③研发和市场部都可以访问公共服务器,但研发专用服务器和设计部专用服务器只能由各自部门的员工访问,其他部门无法访问。
④研发部和设计部的工作站和服务器不能访问,市场部和设计部的工作站和服务器不能访问研发部的VPN网络。
1.2组网拓扑图
1.2 配置思路
1) 的配置
接入的研发部和市场部单独办公区域可以通过将端口配置到不同的VLAN中实现二个区域间的隔离。
对于混合办公区域,由于两个部门通过一个端口接入,因此无法简单的通过配置端口加入VLAN来实现部门间的隔离。考虑到工业设计部和研发部的员工使用不同的操作系统,可以使用协议VLAN的功能vlan客户端,将使用Apple主机的员工(网络协议为)和使用主机的员工(网络协议为IP)通过其使用网络协议将各自的报文划分到不同VLAN。
连接到的端口要求允许所有VLAN的报文通过,而且保留VLAN Tag,以区分该报文所属的VLAN。
2)的配置
接入的网络比较简单,只需要将市场部和研发部接入的端口划分到不同VLAN即可(注意要与上配置的VLAN编号相同)。上连至Core-的端口要允许所有VLAN的报文携带VLAN Tag通过。
3) Core-的配置
Core-连接的端口应允许研发、市场、设计部门的报文通过。
由于Core-是接入VPN网络的出口,因此在为研发部分配IP地址时,需要将网关设置为自己的接口地址,并且在连接VPN的端口只允许研发部所在VLAN的报文通过。
在Core-为市场部分配IP地址时,需要同时指定网关为Core-上市场部VLAN对应的接口,使市场部访问的数据能够被正常转发。
4) Core-的配置
Core-上连接了各个服务器vlan客户端,需要将各服务器的接入端口加入到不同的VLAN,保证只有特定部门才可以访问。
由于公共服务器需要研发和市场部门的主机都能访问,因此为其单独划分为一个VLAN,在客户端与服务器之间进行三层转发。同时注意在Core-和Core-之间的链路除允许三个部门报文通过外,还需要允许服务器群所在VLAN的报文通过(因为研发部和服务器群之间的三层转发需要由Core-来进行)。
由于Core-是接入的出口,因此需要在市场部所在VLAN的接口上配置一个IP地址,使该接口能够作为网关正常转发市场部访问的数据。
5)总结
综上所述,现需要将研发、市场、设计部的工作站和服务器分别划分到、、内,研发和市场分别使用192.168.30.0和192.168.40.0的网段。公共服务器使用,IP地址为192.168.50.0的网段。规划后的VLAN分布图如下图所示:
2.1 配置步骤
1)配置过程
配置
# 创建、、。
-view
[] vlan 100
[-] quit
[] vlan 200
[-] quit
[] vlan 300
[-]
[-] quit
# 将接入研发区域的端口/0/5加入。
[] 1/0/5
[-/0/5] port vlan 100
[-/0/5] quit
# 将接入市场区域的端口/0/7加入。
[] 1/0/7
[-/0/7] port vlan 200
[-/0/7] quit
# 配置和的协议VLAN模板,分别匹配IP协议报文和协议报文。
[] vlan 100
[-] -vlan ip
[-] quit
[] vlan 300
[-] -vlan at
[-] quit
#这里需要特别注意,在配置基于IP协议的协议模板时,同时配置基于ARP协议的模板,这里以封装举例。
[] vlan 100
[-] -vlan mode etype 0806
#配置接入混合办公区域的端口/0/10为端口,使其可以转发和的报文,并且在发送时均去掉VLAN Tag,使工作站可以正常处理报文。
[] 1/0/10
[-/0/10] port link
[-/0/10] port vlan 100 300
#将该端口于和的协议模板相绑定,使其可以按照该模板对接收的报文进行匹配,并将匹配的报文在指定的VLAN中发送。
[-/0/10] port -vlan vlan 100 all
[-/0/10] port -vlan vlan 300 all
[-/0/10] quit
#配置与连接的端口/1/1为Trunk端口,并使其允许/200/300的报文携带VLAN Tag通过。
[] 1/1/1
[-/1/1] port link-type trunk
[-/1/1] port trunk vlan 100 200 300
配置
# 在上创建、、,方法与相同,这里不再赘述。
# 配置端口/0/2和/0/3分别加入和。
-view
[] 1/0/2
[-/0/2] port vlan 200
[-/0/2] quit
[] 1/0/3
[-/0/3] port vlan 100
[-/0/3] quit
# 配置端口/1/1和/1/2,并使其允许/200/300的报文携带VLAN Tag通过。
[] 1/1/1
[-/1/1] port link-type trunk
[-/1/1] port trunk vlan 100 200 300
[-/1/1] quit
[] 1/1/2
[-/1/2] port link-type trunk
[-/1/2] port trunk vlan 100 200 300
[-/1/2] quit
配置Core-
# 在Core-上创建、和,配置方法与的相同,这里不再赘述。
# 配置/1/1和/1/2为Trunk端口,允许/200/300的报文携带VLAN Tag通过,配置方法与相同,这里不再赘述。
# 创建的接口,并配置地址为192.168.30.1,为研发部的工作站分配192.168.30.0/24网段的地址,同时客户端的网关将自动指向自己。
[Core-] dhcp
[Core-] Vlan- 100
[Core--Vlan-] ip 192.168.30.1 24
[Core--Vlan-] dhcp
[Core--Vlan-] quit
# 创建全局地址池,为市场部的工作站分配192.168.40.0/24网段的地址,同时客户端的网关指向Core-(192.168.40.1)。
[Core-] dhcp ip-pool mk
[Core--dhcp-pool-mk] 192.168.40.0 mask 255.255.255.0
[Core--dhcp-pool-mk] -list 192.168.40.1
# 为正常转发研发部访问公共服务器的报文,在Core-上还应该创建及其对应的接口地址,并配置端口/1/1允许该VLAN的报文带VLAN Tag通过。
[Core-] vlan 500
[Core--] quit
[Core-] Vlan- 500
[Core--Vlan-] ip 192.168.50.1 24
[Core--Vlan-] quit
[Core-] 1/1/1
[Core--/1/1] port trunk vlan 500
# 为正常转发研发部访问VPN的报文,需要在Core-上创建一个连接VPN的接口,并配置相应的IP地址,将端口/0/20加入该接口对应的VLAN,配置过程这里不再赘述。
配置Core-
# 在Core-上创建、、和,配置方法这里不再赘述。
# 配置/1/1为Trunk端口,允许/200/300/500的报文携带VLAN Tag通过,配置方法这里不再赘述。
# 为正常转发市场部访问的报文,需要在Core-上创建一个连接的接口,并配置相应的IP地址,将端口/0/15加入该VLAN,配置过程这里不再赘述。
# 配置端口/1/3和/1/4分别只允许和的报文通过,配置方法这里不再赘述。
# 配置端口/1/2只允许的报文通过,配置方法这里不再赘述。
# 配置接口的IP地址为192.168.40.1,配置方法这里不再赘述。
2)配置说明
经过上述配置,各部门间通过VLAN进行了隔离,部门间的主机间在数据链路层无法互通。由于研发部和市场部分别将网关指向Core-和Core-,而Core-上没有配置和连接的VLAN接口的地址,因此研发部无法通过三层转发访问市场部和;同样,市场部也无法通过Core-进行三层转发访问研发部和VPN网络。至此,各部门之间在数据链路层和网络层均实现了隔离。
最近弱电社群资料更新情况:
11、智慧酒店整体解决方案!
12、智慧小区整体解决方案!
13、智慧酒店配置清单(五星级,千万级)
14、弱电系统常用visio图标,可帮助快速设计系统拓扑图!
15、弱电项目经理常用表格!
16、弱电新人培训计划(之前专栏售价59!)
17、PON技术交流!
18、弱电系统维保方案以及维保合同范本,可作为工程商使用模板!
19、智慧园区、产业园区主打方案!
20、大型综合医院智能化系统初步设计汇报!
21、智能化弱电工程设计图集(上下册)!
22、无线wlan设计方案!
23、云数据中心、小区高空抛物等解决方案!
24、数据中心机房线缆敷设与理线!
25、公安视频专网IPC准入控制解决方案!
26、智慧校园可视化解决方案!
27、智慧校园CAD设计图!
28、还有很多资料,不在具体介绍!
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
