在智能化行業已經有多年的工作經驗,知道各位項目經理在綜合佈線,實施方面都有豐富的經驗,但碰到網絡就頭疼,特別是可網管的交換機,沒有web界面的就頭疼,小編以前在做工廠物聯網的時候,走訪過很多大廠的機房,發現很多大廠的機房網管交換機啥都不配,很多功能,都沒啟用,甚至還有些交換機就放旁邊,電都沒上,詢問之後才知道工廠的技術能力有限,不會配置,現在小編以華三交換機為例,舉一個實際項目,一步一步教大家如何配置,如果基礎不夠可以看小編以前寫的文章帶菜鳥起飛-從零開始配置交換機。
1.1組網需求
某研發公司下有三個部分,分別為研發部、市場部、設計部。三個部門共處一個辦公樓內,研發部和市場部辦公區域分開;因工作需要,設計部和研發部部分員工使用混合辦公區域。除設計部的員工使用Apple主機外,其餘部門員工均使用Windows系統主機。要求利用VLAN技術管理各部門的網絡權限,實現以下的訪問需求:
①各部門內部的員工之間均可以互相通信,部門間不能進行通信。
② 研發和市場部分處不同的IP網段,由Core-SwitchA自動分配地址。
③研發和市場部都可以訪問公共服務器,但研發專用服務器和設計部專用服務器只能由各自部門的員工訪問,其他部門無法訪問。
④研發部和設計部的工作站和服務器不能訪問Internet,市場部和設計部的工作站和服務器不能訪問研發部的VPN網絡。
1.2組網拓撲圖
1.2 配置思路
1) SwitchA的配置
SwitchA接入的研發部和市場部單獨辦公區域可以通過將端口配置到不同的VLAN中實現二個區域間的隔離。
對於混合辦公區域,由於兩個部門通過一個端口接入,因此無法簡單的通過配置端口加入VLAN來實現部門間的隔離。考慮到工業設計部和研發部的員工使用不同的操作系統,可以使用協議VLAN的功能,將使用Apple主機的員工(網絡協議為Appletalk)和使用Windows主機的員工(網絡協議為IP)通過其使用網絡協議將各自的報文劃分到不同VLAN。
SwitchA連接到SwitchB的端口要求允許所有VLAN的報文通過,而且保留VLAN Tag,以區分該報文所屬的VLAN。
2)SwitchB的配置
SwitchB接入的網絡比較簡單,只需要將市場部和研發部接入的端口劃分到不同VLAN即可(注意要與SwitchA上配置的VLAN編號相同)。上連至Core-SwitchA的端口要允許所有VLAN的報文攜帶VLAN Tag通過。
3) Core-SwitchA的配置
Core-SwitchA連接SwitchB的端口應允許研發、市場、設計部門的報文通過。
由於Core-SwitchA是接入VPN網絡的出口,因此在為研發部分配IP地址時,需要將網關設置為自己的接口地址,並且在連接VPN的端口只允許研發部所在VLAN的報文通過。
在Core-SwitchA為市場部分配IP地址時,需要同時指定網關為Core-SwitchB上市場部VLAN對應的接口,使市場部訪問Internet的數據能夠被正常轉發。
4) Core-SwitchB的配置
Core-SwitchB上連接了各個服務器,需要將各服務器的接入端口加入到不同的VLAN,保證只有特定部門才可以訪問。
由於公共服務器需要研發和市場部門的主機都能訪問,因此為其單獨劃分為一個VLAN,在客戶端與服務器之間進行三層轉發。同時注意在Core-SwitchB和Core-SwitchA之間的鏈路除允許三個部門報文通過外,還需要允許服務器群所在VLAN的報文通過(因為研發部和服務器群之間的三層轉發需要由Core-SwitchA來進行)。
由於Core-SwitchB是接入Internet的出口,因此需要在市場部所在VLAN的接口上配置一個IP地址,使該接口能夠作為網關正常轉發市場部訪問Internet的數據。
5)總結
綜上所述,現需要將研發、市場、設計部的工作站和服務器分別劃分到VLAN100、VLAN200、VLAN300內,研發和市場分別使用192.168.30.0和192.168.40.0的網段。公共服務器使用VLAN500,IP地址為192.168.50.0的網段。規劃後的VLAN分佈圖如下圖所示:
2.1 配置步驟
1)配置過程
配置SwitchA
# 創建VLAN100、VLAN200、VLAN300。
<switcha> system-view/<switcha>
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 300
[SwitchA-vlan300]
[SwitchA-vlan300] quit
# 將接入研發區域的端口Ethernet1/0/5加入VLAN100。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port access vlan 100
[SwitchA-Ethernet1/0/5] quit
# 將接入市場區域的端口Ethernet1/0/7加入VLAN200。
[SwitchA] interface Ethernet 1/0/7
[SwitchA-Ethernet1/0/7] port access vlan 200
[SwitchA-Ethernet1/0/7] quit
# 配置VLAN100和VLAN300的協議VLAN模板,分別匹配IP協議報文和Appletalk協議報文。
[SwtichA] vlan 100
[SwitchA-vlan100] protocol-vlan ip
[SwitchA-vlan100] quit
[SwitchA] vlan 300
[SwitchA-vlan300] protocol-vlan at
[SwitchA-vlan300] quit
# 這裡需要特別注意,在配置基於IP協議的協議模板時,同時配置基於ARP協議的模板,這裡以EthernetII封裝舉例。
[SwitchA] vlan 100
[SwitchA-vlan100] protocol-vlan mode ethernetii etype 0806
# 配置接入混合辦公區域的端口Ethernet1/0/10為Hybrid端口,使其可以轉發VLAN100和VLAN300的報文,並且在發送時均去掉VLAN Tag,使工作站可以正常處理報文。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link hybrid
[SwitchA-Ethernet1/0/10] port hybrid vlan 100 300 untagged
# 將該端口於VLAN100和VLAN300的協議模板相綁定,使其可以按照該模板對接收的報文進行匹配,並將匹配的報文在指定的VLAN中發送。
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 all
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 300 all
[SwitchA-Ethernet1/0/10] quit
# 配置與SwitchB連接的端口GigabitEthernet1/1/1為Trunk端口,並使其允許VLAN100/200/300的報文攜帶VLAN Tag通過。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
配置SwitchB
# 在SwitchB上創建VLAN100、VLAN200、VLAN300,方法與SwitchA相同,這裡不再贅述。
# 配置端口Ethernet1/0/2和Ethernet1/0/3分別加入VLAN200和VLAN100。
<switchb> system-view/<switchb>
[SwitchB] interface Ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port access vlan 200
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port access vlan 100
[SwitchB-Ethernet1/0/3] quit
# 配置端口GigabitEthernet1/1/1和GigabitEthernet1/1/2,並使其允許VLAN100/200/300的報文攜帶VLAN Tag通過。
[SwitchB] interface GigabitEthernet 1/1/1
[SwitchB-GigabitEthernet1/1/1] port link-type trunk
[SwitchB-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/1] quit
[SwitchB] interface GigabitEthernet 1/1/2
[SwitchB-GigabitEthernet1/1/2] port link-type trunk
[SwitchB-GigabitEthernet1/1/2] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/2] quit
配置Core-SwitchA
# 在Core-SwitchA上創建VLAN100、VLAN200和VLAN300,配置方法與SwitchA的相同,這裡不再贅述。
# 配置GigabitEthernet1/1/1和GigabitEthernet1/1/2為Trunk端口,允許VLAN100/200/300的報文攜帶VLAN Tag通過,配置方法與SwitchB相同,這裡不再贅述。
# 創建VLAN100的接口,並配置地址為192.168.30.1,為研發部的工作站分配 192.168.30.0/24網段的地址,同時客戶端的網關將自動指向自己。
[Core-SwitchA] dhcp enable
[Core-SwitchA] interface Vlan-interface 100
[Core-SwitchA-Vlan-interface100] ip address 192.168.30.1 24
[Core-SwitchA-Vlan-interface100] dhcp select interface
[Core-SwitchA-Vlan-interface100] quit
# 創建全局地址池,為市場部的工作站分配192.168.40.0/24網段的地址,同時客戶端的網關指向Core-SwitchB(192.168.40.1)。
[Core-SwitchA] dhcp server ip-pool mk
[Core-SwitchA-dhcp-pool-mk] network 192.168.40.0 mask 255.255.255.0
[Core-SwitchA-dhcp-pool-mk] gateway-list 192.168.40.1
# 為正常轉發研發部訪問公共服務器的報文,在Core-SwitchA上還應該創建VLAN500及其對應的接口地址,並配置端口GigabitEthernet1/1/1允許該VLAN的報文帶VLAN Tag通過。
[Core-SwitchA] vlan 500
[Core-SwitchA-vlan500] quit
[Core-SwitchA] interface Vlan-interface 500
[Core-SwitchA-Vlan-interface500] ip address 192.168.50.1 24
[Core-SwitchA-Vlan-interface500] quit
[Core-SwitchA] interface GigabitEthernet 1/1/1
[Core-SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 500
# 為正常轉發研發部訪問VPN的報文,需要在Core-SwitchA上創建一個連接VPN的接口,並配置相應的IP地址,將端口Ethernet1/0/20加入該接口對應的VLAN,配置過程這裡不再贅述。
配置Core-SwitchB
# 在Core-SwitchB上創建VLAN100、VLAN200、VLAN300和VLAN500,配置方法這裡不再贅述。
# 配置GigabitEthernet1/1/1為Trunk端口,允許VLAN100/200/300/500的報文攜帶VLAN Tag通過,配置方法這裡不再贅述。
# 為正常轉發市場部訪問Internet的報文,需要在Core-SwitchB上創建一個連接Internet的接口,並配置相應的IP地址,將端口Ethernet1/0/15加入該VLAN,配置過程這裡不再贅述。
# 配置端口GigabitEthernet1/1/3和GigabitEthernet1/1/4分別只允許VLAN300和VLAN100的報文通過,配置方法這裡不再贅述。
# 配置端口GigabitEthernet1/1/2只允許VLAN500的報文通過,配置方法這裡不再贅述。
# 配置VLAN200接口的IP地址為192.168.40.1,配置方法這裡不再贅述。
2)配置說明
經過上述配置,各部門間通過VLAN進行了隔離,部門間的主機間在數據鏈路層無法互通。由於研發部和市場部分別將網關指向Core-SwitchA和Core-SwitchB,而Core-SwitchA上沒有配置VLAN200和連接Internet的VLAN接口的地址,因此研發部無法通過三層轉發訪問市場部和Internet;同樣,市場部也無法通過Core-SwitchB進行三層轉發訪問研發部和VPN網絡。至此,各部門之間在數據鏈路層和網絡層均實現了隔離。
閱讀更多 智能化弱電圈 的文章
