在智能化行业已经有多年的工作经验,知道各位项目经理在综合布线,实施方面都有丰富的经验,但碰到网络就头疼,特别是可网管的交换机,没有web界面的就头疼,小编以前在做工厂物联网的时候,走访过很多大厂的机房,发现很多大厂的机房网管交换机啥都不配,很多功能,都没启用,甚至还有些交换机就放旁边,电都没上,询问之后才知道工厂的技术能力有限,不会配置,现在小编以华三交换机为例,举一个实际项目,一步一步教大家如何配置,如果基础不够可以看小编以前写的文章带菜鸟起飞-从零开始配置交换机。
1.1组网需求
某研发公司下有三个部分,分别为研发部、市场部、设计部。三个部门共处一个办公楼内,研发部和市场部办公区域分开;因工作需要,设计部和研发部部分员工使用混合办公区域。除设计部的员工使用Apple主机外,其余部门员工均使用Windows系统主机。要求利用VLAN技术管理各部门的网络权限,实现以下的访问需求:
①各部门内部的员工之间均可以互相通信,部门间不能进行通信。
② 研发和市场部分处不同的IP网段,由Core-SwitchA自动分配地址。
1.2 配置思路
1) SwitchA的配置
SwitchA接入的研发部和市场部单独办公区域可以通过将端口配置到不同的VLAN中实现二个区域间的隔离。
对于混合办公区域,由于两个部门通过一个端口接入,因此无法简单的通过配置端口加入VLAN来实现部门间的隔离。考虑到工业设计部和研发部的员工使用不同的操作系统,可以使用协议VLAN的功能,将使用Apple主机的员工(网络协议为Appletalk)和使用Windows主机的员工(网络协议为IP)通过其使用网络协议将各自的报文划分到不同VLAN。
SwitchA连接到SwitchB的端口要求允许所有VLAN的报文通过,而且保留VLAN Tag,以区分该报文所属的VLAN。
2)SwitchB的配置
SwitchB接入的网络比较简单,只需要将市场部和研发部接入的端口划分到不同VLAN即可(注意要与SwitchA上配置的VLAN编号相同)。上连至Core-SwitchA的端口要允许所有VLAN的报文携带VLAN Tag通过。
3) Core-SwitchA的配置
Core-SwitchA连接SwitchB的端口应允许研发、市场、设计部门的报文通过。
由于Core-SwitchA是接入VPN网络的出口,因此在为研发部分配IP地址时,需要将网关设置为自己的接口地址,并且在连接VPN的端口只允许研发部所在VLAN的报文通过。
在Core-SwitchA为市场部分配IP地址时,需要同时指定网关为Core-SwitchB上市场部VLAN对应的接口,使市场部访问Internet的数据能够被正常转发。
4) Core-SwitchB的配置
Core-SwitchB上连接了各个服务器,需要将各服务器的接入端口加入到不同的VLAN,保证只有特定部门才可以访问。
由于公共服务器需要研发和市场部门的主机都能访问,因此为其单独划分为一个VLAN,在客户端与服务器之间进行三层转发。同时注意在Core-SwitchB和Core-SwitchA之间的链路除允许三个部门报文通过外,还需要允许服务器群所在VLAN的报文通过(因为研发部和服务器群之间的三层转发需要由Core-SwitchA来进行)。
由于Core-SwitchB是接入Internet的出口,因此需要在市场部所在VLAN的接口上配置一个IP地址,使该接口能够作为网关正常转发市场部访问Internet的数据。
5)总结
综上所述,现需要将研发、市场、设计部的工作站和服务器分别划分到VLAN100、VLAN200、VLAN300内,研发和市场分别使用192.168.30.0和192.168.40.0的网段。公共服务器使用VLAN500,IP地址为192.168.50.0的网段。规划后的VLAN分布图如下图所示:
2.1 配置步骤
1)配置过程
配置SwitchA
# 创建VLAN100、VLAN200、VLAN300。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 300
[SwitchA-vlan300]
[SwitchA-vlan300] quit
# 将接入研发区域的端口Ethernet1/0/5加入VLAN100。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port access vlan 100
[SwitchA-Ethernet1/0/5] quit
# 将接入市场区域的端口Ethernet1/0/7加入VLAN200。
[SwitchA] interface Ethernet 1/0/7
[SwitchA-Ethernet1/0/7] port access vlan 200
[SwitchA-Ethernet1/0/7] quit
# 配置VLAN100和VLAN300的协议VLAN模板,分别匹配IP协议报文和Appletalk协议报文。
[SwtichA] vlan 100
[SwitchA-vlan100] protocol-vlan ip
[SwitchA-vlan100] quit
[SwitchA] vlan 300
[SwitchA-vlan300] protocol-vlan at
[SwitchA-vlan300] quit
# 这里需要特别注意,在配置基于IP协议的协议模板时,同时配置基于ARP协议的模板,这里以EthernetII封装举例。
[SwitchA] vlan 100
[SwitchA-vlan100] protocol-vlan mode ethernetii etype 0806
# 配置接入混合办公区域的端口Ethernet1/0/10为Hybrid端口,使其可以转发VLAN100和VLAN300的报文,并且在发送时均去掉VLAN Tag,使工作站可以正常处理报文。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link hybrid
[SwitchA-Ethernet1/0/10] port hybrid vlan 100 300 untagged
# 将该端口于VLAN100和VLAN300的协议模板相绑定,使其可以按照该模板对接收的报文进行匹配,并将匹配的报文在指定的VLAN中发送。
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 all
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 300 all
[SwitchA-Ethernet1/0/10] quit
# 配置与SwitchB连接的端口GigabitEthernet1/1/1为Trunk端口,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
配置SwitchB
# 在SwitchB上创建VLAN100、VLAN200、VLAN300,方法与SwitchA相同,这里不再赘述。
# 配置端口Ethernet1/0/2和Ethernet1/0/3分别加入VLAN200和VLAN100。
<SwitchB> system-view
[SwitchB] interface Ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port access vlan 200
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port access vlan 100
[SwitchB-Ethernet1/0/3] quit
# 配置端口GigabitEthernet1/1/1和GigabitEthernet1/1/2,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchB] interface GigabitEthernet 1/1/1
[SwitchB-GigabitEthernet1/1/1] port link-type trunk
[SwitchB-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/1] quit
[SwitchB] interface GigabitEthernet 1/1/2
[SwitchB-GigabitEthernet1/1/2] port link-type trunk
[SwitchB-GigabitEthernet1/1/2] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/2] quit
配置Core-SwitchA
# 在Core-SwitchA上创建VLAN100、VLAN200和VLAN300,配置方法与SwitchA的相同,这里不再赘述。
# 配置GigabitEthernet1/1/1和GigabitEthernet1/1/2为Trunk端口,允许VLAN100/200/300的报文携带VLAN Tag通过,配置方法与SwitchB相同,这里不再赘述。
# 创建VLAN100的接口,并配置地址为192.168.30.1,为研发部的工作站分配192.168.30.0/24网段的地址,同时客户端的网关将自动指向自己。
[Core-SwitchA] dhcp enable
[Core-SwitchA] interface Vlan-interface 100
[Core-SwitchA-Vlan-interface100] ip address 192.168.30.1 24
[Core-SwitchA-Vlan-interface100] dhcp select interface
[Core-SwitchA-Vlan-interface100] quit
# 创建全局地址池,为市场部的工作站分配192.168.40.0/24网段的地址,同时客户端的网关指向Core-SwitchB(192.168.40.1)。
[Core-SwitchA] dhcp server ip-pool mk
[Core-SwitchA-dhcp-pool-mk] network 192.168.40.0 mask 255.255.255.0
[Core-SwitchA-dhcp-pool-mk] gateway-list 192.168.40.1
# 为正常转发研发部访问公共服务器的报文,在Core-SwitchA上还应该创建VLAN500及其对应的接口地址,并配置端口GigabitEthernet1/1/1允许该VLAN的报文带VLAN Tag通过。
[Core-SwitchA] vlan 500
[Core-SwitchA-vlan500] quit
[Core-SwitchA] interface Vlan-interface 500
[Core-SwitchA-Vlan-interface500] ip address 192.168.50.1 24
[Core-SwitchA-Vlan-interface500] quit
[Core-SwitchA] interface GigabitEthernet 1/1/1
[Core-SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 500
# 为正常转发研发部访问VPN的报文,需要在Core-SwitchA上创建一个连接VPN的接口,并配置相应的IP地址,将端口Ethernet1/0/20加入该接口对应的VLAN,配置过程这里不再赘述。
配置Core-SwitchB
# 在Core-SwitchB上创建VLAN100、VLAN200、VLAN300和VLAN500,配置方法这里不再赘述。
# 配置GigabitEthernet1/1/1为Trunk端口,允许VLAN100/200/300/500的报文携带VLAN Tag通过,配置方法这里不再赘述。
# 为正常转发市场部访问Internet的报文,需要在Core-SwitchB上创建一个连接Internet的接口,并配置相应的IP地址,将端口Ethernet1/0/15加入该VLAN,配置过程这里不再赘述。
# 配置端口GigabitEthernet1/1/3和GigabitEthernet1/1/4分别只允许VLAN300和VLAN100的报文通过,配置方法这里不再赘述。
# 配置端口GigabitEthernet1/1/2只允许VLAN500的报文通过,配置方法这里不再赘述。
# 配置VLAN200接口的IP地址为192.168.40.1,配置方法这里不再赘述。
2)配置说明
经过上述配置,各部门间通过VLAN进行了隔离,部门间的主机间在数据链路层无法互通。由于研发部和市场部分别将网关指向Core-SwitchA和Core-SwitchB,而Core-SwitchA上没有配置VLAN200和连接Internet的VLAN接口的地址,因此研发部无法通过三层转发访问市场部和Internet;同样,市场部也无法通过Core-SwitchB进行三层转发访问研发部和VPN网络。至此,各部门之间在数据链路层和网络层均实现了隔离。
,
