弱电项目中,交换机的配置是无法避免的,大部分的项目都有可能会涉及到,尤其是机房等网络项目,本期我们就通过一个实际项目案例来详细了解交换机在项目中的应用配置,如果我们平时对交换机配置不熟,这个案例可以帮助大家理清思路。
一、学校项目配置案例
某校计算机系承办市中考电脑阅卷任务,市教育局要求学校提供四百台电脑供改卷教师使用,同时需要4台配置性能较高的服务器以供四百台客户端电脑访问。该校计算机系四百台电脑分布在7间机房中,共由4个IP网段组成。
一、要求:
为了安全起见,要求处在4个网段的电脑相互之间不能访问,但所有的电脑
均要求能访问这4台服务器,网络拓扑图如图13-7所示。经研究,可以通过配置三层交换机以实现以上要求。
二、具体配置及IP地址分配方案如下所述:
假设:
机房一、二的网线分别接在三层交换机的F0/1和F0/2端口;
机房三、四的网线分别接在三层交换机的F0/6和F0/7端口;
机房五、六的网线分别接在三层交换机的F0/11和F0/12端口;
机房七的网线接在三层交换机的F0/16端口;
服务器接在三层交换机的F0/21端口。
各机房IP地址分配
机房一、二: IP:192.168.7.X/24,网关:192.168.7.254
机房三、四: IP:192.168.8.X/24,网关:192.168.8.254
机房五、六:IP:192.168.10.X/24,网关:192.168.10.254
机房七:IP:192.168.11.X/24,网关:192.168.11.254
服务器:IP:192.168.12.X/24 网关:192.168.12.254
三、网络拓扑图
四、配置三层交换机
本例以思科三层交换机为例,具体配置命令如下所示:有些重复的命令就不注释了。
1、创建5个vlan
Switch>
Switch>en //进入特权模式
Switch#config //进入全局配置模式
Switch(config)#hostname 3560 //更改主机名为3560
3560(config)#vlan 10 //创建vlan10
3560(config-vlan)#vlan 20 //创建vlan20
3560(config-vlan)#vlan 30
3560(config-vlan)#vlan 40
3560(config-vlan)#vlan 50
3560(config-vlan)#exit
2、将端口划分到相应的VLAN
3560(config)#int range f0/1-5 //进入端口1-5
3560(config-if-range)#switchport mode access //将端口设置为access模式
3560(config-if-range)#switchport access vlan10 //将1-5端口加入到vlan10中
3560(config-if-range)#exit //退出
3560(config)#int range f0/6-10 //进入端口6-10端口,其它命令与上面一样
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan20
3560(config-if-range)#exit
3560(config)#int range f0/11-15
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan30
3560(config-if-range)#exit
3560(config)#int range f0/16-20
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchporta ccess vlan40
3560(config-if-range)#exit
3560(config)#int range f0/21-22
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan50
3560(config-if-range)#exit
先为三层交换机开启路由功能,这样才能实现计算机互访问
3560(config)#no ip domain-loo //告诉Router不要对它不知道的字符串做DNS解析
3560 (config)#ip routing //启动路由
3、为各个VLAN分别配置IP地址
3560(config)#int vlan 10 //进入vlan10
3560(config-if)#ip add 192.168.7.254 255.255.255.0 //为vlan10分配子网掩码与ip地址
3560(config-if)#no shut //开启端口
3560(config-if)#exit //退出
3560(config)#int vlan 20
3560(config-if)#ip add 192.168.8.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 30
3560(config-if)#ip add 192.168.10.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 40
3560(config-if)#ip add 192.168.11.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 50
3560(config-if)#ip add 192.168.12.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
4、创建访问控制列表(ACL)
很多朋友可能会问,控制访问列表有什么用,我们先来了解下它的作用。
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
拒绝网络192.168.7.0/24访问这三个ip段(192.168.8.0/24、192.168.10.0/24、192.168.11.0/24),而允许其他任何流量。
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 101 permit ip any any
拒绝网络192.168.8.0/24访问这三个ip段(192.168.7.0/24、192.168.10.0/24、192.168.11.0/24),而允许其他任何流量。
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 102 permit ip any any
拒绝网络192.168.10.0/24访问这三个ip段(192.168.7.0/24、192.168.8.0/24、192.168.11.0/24),而允许其他任何流量。
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 103 permit ip any any
拒绝网络192.168.11.0/24访问这三个ip段(192.168.7.0/24、192.168.8.0/24、192.168.10.0/24),而允许其他任何流量。
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 104 permit ip any any
5、将ACL应用到相应的VLAN上
3560(config)#int vlan10
3560(config-if)#ipaccess-group 101 in
3560(config-if)#exit
就是vlan10就只能访问101的列表。
3560(config)#int vlan20
3560(config-if)#ipaccess-group 102 in
3560(config-if)#exit
就是vlan20就只能访问102的列表。
3560(config)#int vlan30
3560(config-if)#ipaccess-group 103 in
3560(config-if)#exit
就是vlan30就只能访问103的列表。
3560(config)#int vlan40
3560(config-if)#ipaccess-group 104 in
3560(config-if)#exit
就是vlan40就只能访问104的列表。
3560#wr //保存配置文件
五、验证测试
1、机房一、二的电脑Ping不通处在8、10、11网段的电脑,但可以Ping通处在12网段的服务器;
2、机房三、四的电脑Ping不通处在7、10、11网段的电脑,但可以Ping通12网段的服务器;
3、机房五、六的电脑Ping不通处在7、8、11网段的电脑,但可以Ping通12段的服务器;
4、机房七的电脑Ping不通处在7、8、10网段的电脑,但可以Ping通12网段的服务器。
弱电行业网投稿邮箱:rdhyw@qq.com
最新弱电资料更新—弱电智能化施工报价与施工指导2020年5月8日