以H3C交换机为例,两台或多台交换机划分两个vlanVLAN后,每台交换机配置了10个VLAN,怎么配置。

来源:蜘蛛抓取(WebSpider) 时间:2018-08-02 00:13 标签: 交换机划分两个vlan

谷歌匿名用户在4个月前提交了关於“h3c交换机和华为交换机配trunk口不通配access口就可以”的提问,欢迎大家涌跃发表自己的观点

h3c是核心交换机,华为是楼道交换机

路由写了,vlan也有了trunk口就是不通,两边用的光模块都是h3c的也换过华为的也不行,口的速率都是1000 ,,不知道哪里出了问题,有没有大神来指導一下

某研发公司下有三个部分分别為研发部、市场部、设计部。三个部门共处一个办公楼内研发部和市场部办公区域分开;因工作需要,设计部和研发部部分员工使用混匼办公区域除设计部的员工使用Apple主机外,其余部门员工均使用Windows系统主机要求利用VLAN技术管理各部门的网络权限,实现以下的访问需求:

圖2-1 VLAN综合配置举例组网图

SwitchA接入的研发部和市场部单独办公区域可以通过将端口配置到不同的VLAN中实现二个区域间的隔离

对于混合办公区域,甴于两个部门通过一个端口接入因此无法简单的通过配置端口加入VLAN来实现部门间的隔离。考虑到工业设计部和研发部的员工使用不同的操作系统可以使用协议VLAN的功能,将使用Apple主机的员工(网络协议为Appletalk)和使用Windows主机的员工(网络协议为IP)通过其使用网络协议将各自的报文劃分到不同VLAN

SwitchA连接到SwitchB的端口要求允许所有VLAN的报文通过,而且保留VLAN Tag以区分该报文所属的VLAN。

SwitchB接入的网络比较简单只需要将市场部和研发部接入的端口划分到不同VLAN即可(注意要与SwitchA上配置的VLAN编号相同)。上连至Core-SwitchA的端口要允许所有VLAN的报文携带VLAN Tag通过

Core-SwitchA连接SwitchB的端口应允许研发、市场、設计部门的报文通过。

由于Core-SwitchA是接入VPN网络的出口因此在为研发部分配IP地址时,需要将网关设置为自己的接口地址并且在连接VPN的端口只允許研发部所在VLAN的报文通过。

在Core-SwitchA为市场部分配IP地址时需要同时指定网关为Core-SwitchB上市场部VLAN对应的接口,使市场部访问Internet的数据能够被正常转发

Core-SwitchB上連接了各个服务器,需要将各服务器的接入端口加入到不同的VLAN保证只有特定部门才可以访问。

由于公共服务器需要研发和市场部门的主機都能访问因此为其单独划分为一个VLAN,在客户端与服务器之间进行三层转发同时注意在Core-SwitchB和Core-SwitchA之间的链路除允许三个部门报文通过外,还需要允许服务器群所在VLAN的报文通过(因为研发部和服务器群之间的三层转发需要由Core-SwitchA来进行)

由于Core-SwitchB是接入Internet的出口,因此需要在市场部所在VLAN嘚接口上配置一个IP地址使该接口能够作为网关正常转发市场部访问Internet的数据。

综上所述现需要将研发、市场、设计部的工作站和服务器汾别划分到VLAN100、VLAN200、VLAN300内,研发和市场分别使用192.168.30.0和192.168.40.0的网段公共服务器使用VLAN500,IP地址为192.168.50.0的网段规划后的VLAN分布图如所示:

1. 使用的设备及版本

本举例Φ使用的设备为S3600系列以太网交换机,软件版本为Release 1510

# 这里需要特别注意,在配置基于IP协议的协议模板时同时配置基于ARP协议的模板,这里以EthernetII葑装举例

# 配置接入混合办公区域的端口Ethernet1/0/10为Hybrid端口,使其可以转发VLAN100和VLAN300的报文并且在发送时均去掉VLAN Tag,使工作站可以正常处理报文

# 将该端口於VLAN100和VLAN300的协议模板相绑定,使其可以按照该模板对接收的报文进行匹配并将匹配的报文在指定的VLAN中发送。

# 创建VLAN100的接口并配置地址为192.168.30.1,为研发部的工作站分配192.168.30.0/24网段的地址同时客户端的网关将自动指向自己。

有关DHCP配置的详细介绍请参见S3600系列以太网交换机的操作、命令手册。

# 为正常转发研发部访问VPN的报文需要在Core-SwitchA上创建一个连接VPN的接口,并配置相应的IP地址将端口Ethernet1/0/20加入该接口对应的VLAN,配置过程这里不再赘述

# 为正常转发市场部访问Internet的报文,需要在Core-SwitchB上创建一个连接Internet的接口并配置相应的IP地址,将端口Ethernet1/0/15加入该VLAN配置过程这里不再赘述。

经过上述配置各部门间通过VLAN进行了隔离,部门间的主机间在数据链路层无法互通

由于研发部和市场部分别将网关指向Core-SwitchA和Core-SwitchB,而Core-SwitchA上没有配置VLAN200和连接Internet嘚VLAN接口的地址因此研发部无法通过三层转发访问市场部和Internet;同样,市场部也无法通过Core-SwitchB进行三层转发访问研发部和VPN网络

至此,各部门之間在数据链路层和网络层均实现了隔离

为避免用户手工改变工作站的IP地址和网关,非法访问网络资源建议在SwitchA和SwitchB上启动DHCP-Snooping功能,监控客户端的IP地址使用情况配置方法请参见S3600系列交换机的操作、命令手册。

协议与ARP协议关系密切用户在VLAN下配置IP协议类型时,请同时配置ARP协议类型并将这两种协议类型关联到相同的端口,避免因ARP报文与IP报文未划分到同一VLAN而造成无法解析IP地址的情况。

H3C三层交换机VLAN配置实例

简介:本文档为《H3C三层交换机VLAN配置实例doc》可适用于IT/计算机领域

我要回帖

更多关于 交换机划分两个vlan 的文章

 

随机推荐