中型企业局域网的经典配置
拓扑图如下所示:
某公司有400多个节点,光纤接入,LAN内文件共享,OA;划分VALN来隔离广播域;为了确保企业局域网整体的稳定可靠,网络结构采用了冗余配置,出于公司安全考虑,财务的主机不能被其他主机访问!其他主机可以互访。
主要配置步骤为:
1、 交换机基础性配置:
注:实际上,交换机与路由器的基础性配置一样!eg: SW2、SW3、SW4、SW5与SW1此处配置一样!请自行配置。
*在SW1上的配置:
*在SW2、SW3、SW4、SW5上的配置与SW1一样
。仅3处不同,即
(1)hostname XX (XX代表相应的设备,如:SW2、SW3、SW4、SW5)
(2)enable secret XX(XX为自己设置的密码)
(3)password XX (XX为自己设置的密码)
2、设置VTP DOMAIN
在核心交换机上(SW1、SW5)配置如下:
在部门交换机上(SW2、SW3、SW4)配置如下:
3、配置中继
在核心交换机SW1上配置中继:
在核心交换机SW5上配置中继:
在部门交换机SW2上配置中继:
在部门交换机SW3上配置中继:
在部门交换机SW4上配置中继:
4、配置链路捆绑(以太网通道):
在核心交换机SW1和SW5之间配置多链路捆绑,能形成比较大的数据传输通道,有利于数据的快速转发,同时又能实现链路的冗余。
--------------------------------------------------------------------
5、创建VLAN
只需要在管理域中的任何一台VTP Server的交换机上创建VLAN,就会通过VTP通告整个管理域中的所有交换机,此处是SW1,即SW1为VTP Server,所以只需在SW1上创建VLAN即可。
6、设置生成树的根
*将生成树的首根(primary root)皆设在SW1上,而将次根(secondary root)设在SW5上,若如此,当主交换机SW1宕机的情况下,辅交换机SW5可以快速接管,成为STP的首根。
注:如果不用手工设置生成树的根,所有交换机会能过生成树算法来计算各自VLAN的根,果真如此,可能导致某个部门交换机被选为生成树的根,则会造成大量的负载由此交换机来承担,然而性能更高的核心交换机(SW1和SW5)就不能充分体现其价值。
手工指定SW1上的VLAN 10 、VLAN20、VLAN30为root primary:
手工指定SW5上的VLAN 10 、VLAN20、VLAN30为secondary primary:
7、将交换机的端口划入VLAN,具体如下:
思考:如何将SW2、SW3、SW4的端口加入到VLAN 30 ?(授之以鱼,不如授之以渔!)
8、配置三层交换
相应部门已划入相应的VLAN。此时只有本VLAN的主机之间可以互访,而不同VLAN之间不能通信,为让不同VLAN之间能互访,需要在各VLAN之架起一座桥梁,则在三层核心设备(SW1、SW5)上给各VLAN接口分配网络地址。由于2台核心设备互为备份,即可能为各VLAN之间互访桥梁,故分别在SW1和SW5配置一个IP地址,即为各VLAN主机的网关地址。
SW1的VLAN和IP地址表
|
部门
|
VLAN名
|
VLAN ID
|
网关地址
|
网段地址
|
|
财务部
|
caiwubu
|
10
|
192.168.18.254
|
192.168.18.0/24
|
|
销售部
|
xiaoshoubu
|
20
|
192.168.19.254
|
192.168.19.0/24
|
|
其他部
|
qitabu
|
30
|
192.168.20.254
|
192.168.20.0/24
|
SW5的VLAN和IP地址表
|
部门
|
VLAN名
|
VLAN ID
|
网关地址
|
网段地址
|
|
财务部
|
caiwubu
|
10
|
192.168.18.253
|
192.168.18.0/24
|
|
销售部
|
xiaoshoubu
|
20
|
192.168.19.253
|
192.168.19.0/24
|
|
其他部
|
qitabu
|
30
|
192.168.20.253
|
192.168.20.0/24
|
在SW1上的配置如下所示:
在SW5上的配置如下所示:
注:为了使各VLAN可以互访,需要作如下设置:
(1)相应PC接入相应VLAN时,PC的IP地址与所在VLAN的网络地址一致;
(2)PC的默认网关是该VLAN的接口IP地址;
例如:
PC3插在SW2的F1/11端口,而SW2的F1/11划入VLAN 10,由《SW1的VLAN和IP地址表》可知,取PC3的IP地址:192.168.18.44 子网掩码:255.255.255.0 默认网关:192.168.18.254 DNS: 202.96.209.133
具体在PC3上的配置如下:
思考:如何配置PC4、PC5、PC6…PCn上的TCP/IP
注:如果真的如上面所示设置各PC的TCP/IP,那问题又来了,当把所有PC上的默认网关都设成《SW1的VLAN和IP地址表》中的各部门相应的网关地址,若SW1宕机呢?则SW5接替SW1,那又要在相应PC上修改默认网关!显然效率很低,不可取!这样HSRP(热备份路由协议)就应运而生了。(谢谢CISCO ^_^ )
9、配置HSRP:
配置了HSRP(热备份路由协议),当SW1宕机后,SW5接替SW1,所有PC都不必修改默认网关。(HSRP相关内容,各位去Google、Baidu吧)
--------------------------------------------------------------------
10
、配置
VLAN
访问控制(
VACL
)
公司出于安全考虑特申:财务的主机不能被其他主机访问!但财务主机可以访问其他主机,其他主机互访。权衡利弊决定采用反射反问控制列表。
注:图片异常最后附件中有下载!
至此,《中型企业局域网的经典配置》全部完毕!
思考:从去年开始,上海规定:财务在网上认证、报税、开票……故公司也相应规定,财务网上认证、报税、开票……的PC只能上此网站。其他deny!那如何配置呢?
本文转自beyondhedefang
51CTO博客,原文链接: http://blog.51cto.com/beyondhdf/128698,如需转载请自行联系原作者
