各位读者好,我发现,最近的收藏量比较多,为了大家方便,添加了一些各部分图和细节。
配置总流程
内网:5个VLAN配置 + 三层交换机上各下级网关配置
外网:三层交换机与路由器之间的连接处物理二层接口转为物理三层接口,并配置该端口的ip地址 + 三层交换机与路由器使用动态路由RIP协议
访问权限:限制学生区域访问外网,其他区域访问正常
服务器:WEB+DNS+DHCP服务器配置
1、总体拓扑图+网段
开始需要配置各设备的ip地址、子网掩码、网关、dns服务器的ip地址
部分
网段
子网掩码
网关
学生宿舍
192.168.1x/24
255.255.255.0
192.168.1.254
教学楼
192.168.2x/24
255.255.255.0
192.168.2.254
教师宿舍
192.168.3x/24
255.255.255.0
192.168.3.254
图书馆
192.168.4x/24
255.255.255.0
192.168.4.254
服务器
192.168.5x/24
255.255.255.0
192.168.5.254
路由器、交换机间
192.168.6x/24
255.255.255.0
192.168.6.1\192.168.6.2
路由器与路由器间
210.38.241.x
255.255.255.0210.38.241.1\210.38.241.2外网pc机处
210.38.242.1
255.255.255.0
210.38.242.1
- 例子(以pc0和Router0为例子)
- 主要是设置ip、子网、网关、dns服务器,和Router路由的端口开启
2、命令
(1)内网配置
二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机,它是一种用于电信号的存储转发的网络设备。它可以为pc机、服务器等接入交换机的任意两个网络端口提供独享的电信号通路,并进行通信,在我们校园网网络拓扑中,我们需要用它来设置VLAN,把网络分段,通过对照学习的MAC地址表,存在内部地址表中,使交换机只允许必要的虚拟网段流量通过交换机,而通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包,避免共享冲突。
而在这里我们需要配置内网VLAN(因为它是一个单独的局域网),外网不需要(无数个局域网连接而成)
1)二层交换机配置VLAN命令:
vlan 10
学生宿舍
vlan 20
教学楼
vlan 30
教师宿舍
vlan 40
图书馆
vlan 50
服务器
下面以配置学生区的vlan 10为例子,其他配置都一样
Switch>enable
enable进入特权模式 -- Switch#
Switch#vlan database
进入vlan数据库,进行vlan设置 --- Switch(vlan)#
Switch(vlan)#vlan 10
添加vlan 10
Switch(vlan)#exit
返回特权模式 -- Switch#
Switch#configure terminal
进入全局模式 -- Switch(config)#
Switch(config)#interface f0/1
进入端口f0/1(交换机与主机间端口)--Switch(config-if)#
Switch(config-if)#switchport access vlan 10 ;
当前端口加入vlan 10
Switch(config-if)#exit
返回全局模式,可以设置另一个端口
Switch(config)#interface f0/2
进入端口f0/2(二层与三层交换机间端口)
Switch(config-if)#switchport mode trunk
交换机连交换机的口要改为trunk模式意思是vlan数据包都可以经过
Switch(config-if)#exit
返回全局模式,可以设置另一个vlan
Switch#show vlan brief
5个vlan配置好可以通过这个查看我们vlan数据库的vlan
- 例子(以添加VLAN 20为例)
2)校园网三层交换机配置网关
三层交换机就是具有部分路由器功能的交换机(注意:路由器是交换机,交换机不是路由器),它工作在OSI网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发,所以在校园网拓扑中,它担任着核心设备,负责着内网的各部分的二级交换机的数据交互,还担当者内网的数据出口到路由器,把外网发送给内网路由器的数据分发给内网对应的设备,对于网络的交互起了巨大的作用。 别质疑,说好三层交换机,它就工作在OSI七层中的网络层,它具备一些路由器的功能,可以说,‘**路由器是交换机,交换机不是路由器’**,所以我们需要在三层交换机上面**配置网关**
Switch#vlan database
进入vlan数据库,进行vlan设置 --- Switch(vlan)#
Switch(vlan)#vlan 10
添加vlan 10、20、30、40、50(看需要多少广播域)
Switch(vlan)#exit
上面添加完5个vlan就可以返回特权模式
Switch#configure terminal
进入全局模式
Switch(config)#ip routing
启动交换机的路由功能(重要)
Switch(config)#int vlan 10
进入vlan 10(每个接口都要进入设置)
Switch(config)#ip address ip地址 子网掩码
配置vlan 10的ip地址(也就是该广播域的网关192.168.1.254)
- 例子(就一个三层交换机,内外网连接的那个)
做到这里,就可以实现内网的连接了,如下图ping其他网段的数据是有回应的(学生宿舍 ping web)
(2)外网配置
1)三层交换机与路由器之间的连接
Switch(config)#int f0/6
进入f0/6端口
Switch(config-if)#no switchport
物理二层接口转为物理三层接口
Switch(config-if)#ip add ip地址 子网掩码
配置该端口的ip地址 (192.168.6.2)
- 例子(三层交换机)
2)在三层交换机与路由器上使用RIP协议
A、静态路由
优点:它是由管理员手工一条条加入路由表的,配置灵活,节省链路开销。
缺点:缺乏灵活性,配置过程繁杂,而拓扑变更时需要管理员去每台路由上更改设置。
B、动态路由
优点:可以自动适应网络拓扑的变化,自动维护路由信息而不需要网络管理员的参与。
缺点:由于需要相互交换路由信息,因而占用网络带宽与系统资源;安全性不如静态路由。
如果配置小型网络用静态路由,但是现在是大型的,我们需要用动态路由的rip协议配置
Switch(config)#router rip
rip协议的配置
Switch(config-router)#net IP地址
需要配置三层交换机/其连接的路由器所有端口的网段号
Switch(config-router)#net IP地址
需要配置三层交换机/其连接的路由器所有端口的网段号配置完毕所有的端口------
- 例子(上图三层交换机、下图路由器)
到了这里你其实就可以连接外网了,恭喜了
(3)设置访问权限
处于安全策略的考虑,校园网网络拓扑需要设置访问权限,192.168.1x/24为学生宿舍区域所以我们应该把其访问外网的权限给关掉,使其只能使用校园内网,而教学区域,教师宿舍,图书馆和服务器区域都可以访问外网。
根据我们的校园网网络拓扑图,所有外网的通信需要从Router0进入内网,所以我们需要在Router0路由器上进行访问权限的配置。
Router(config)#int f0/1
进入路由器0内网出口f0/1
Router(config-i)#ip access-group 1 out
将指定的访问列表应用到相关接口
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
限制来自网络198.168.1.0的出口流量,也就是限制其进入路由器,其中1是id(1-99可设置)
Router(config)#access-list 1 permit any
其它的网段允许进入路由器
- 例子
(4)服务器的配置
DNS是域名系统,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应ip地址,并具有将域名转换为ip地址功能的服务器。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。 DHCP是动态主机设置协议,是一个局域网的网络协议,主要是给网络快速自动地分配IP地址,DHCP能够帮助我们将IP地址和相关IP信息分配给网络中计算机,还可以给设备上配置正确的子网掩码,默认网关和DNS服务器信息。但是主机上的ip配置需要从静态,改为DHCP配置才可以使用。【最后设置ip自动获取,网就连上了,不信,你去查看pc机的ip是否分配】
版权归原作者 打不着的大喇叭 所有, 如有侵权,请联系我们删除。