前言
大家好,我是林先生網路工程案例:某學校機房專案交換機的配置,下面我們一起來看看有哪些知識點!
身體
1.學校專案配置案例
某學校計算機系承擔市高中入學考試的計算機閱卷任務,市教育局要求學校提供400臺計算機供修改試卷的教師使用同時,需要4臺配置效能高的伺服器才能訪問400臺客戶端計算機。大學計算機系的400臺計算機分布在7個機房中,這些機房由4個IP網段組成。
1.要求:為了安全起見,要求如下4 個網段中的計算機無法相互訪問,但所有計算機。
雙需要訪問這 4 臺伺服器網路拓撲如圖13-7所示。 經過研究,可以通過配置三層交換機來實現上述要求。
2、具體配置及IP位址分配方案如下:
假設:機房。
第一和第二的網線分別連線到三層交換機的F0 1和F0 2埠。
房間。 第三、第四的網線分別連線到三層交換機的F0 6和F0 7埠;
房間。 5、6的網線分別連線到三層交換機的F0 11和F0 12埠;
機房7的網線連線到三層交換機的F0 16埠;
伺服器連線到第 3 層交換機的埠 F0 21。
每個資料中心的 IP 位址分配
房間。
I, II: IP: 192168.7.x 24,閘道器:192168.7.254
房間。
III、IV:IP:192168.8.x 24,閘道器:192168.8.254
房間。
五、六:ip:192168.10.x 24,閘道器:192168.10.254
7號機房:ip:192.168.11.x 24,閘道器:192168.11.254
伺服器:ip:192.168.12.x 24,閘道器:192168.12.254
3.網路拓撲圖。
4. 配置三層交換機。
本示例以Cisco三層交換機為例,具體配置命令如下: 一些重複的命令將不被注釋。
1. 建立 5 個 VLAN
switch>
switch>en 進入特權模式。
切換配置進入全域性配置模式。
switch(config) hostname 3560 將主機名更改為 3560
3560(配置) VLAN 10 建立 VLAN 10
3560(config-vlan) VLAN 20 建立 VLAN20
3560(config-vlan)#vlan 30
3560(config-vlan)#vlan 40
3560(config-vlan)#vlan 50
3560(config-vlan)#exit
2. 將埠分配給相應的 VLAN
3560(配置) int range f0 1-5 進入埠 1-5
3560(config-if-range) 交換機埠模式訪問將埠設定為訪問模式。
3560(config-if-range) 交換機埠接入 vlan10 將埠 1-5 新增到 vlan10。
3560(config-if-range) 退出。
3560(config) int range f0 6-10 進入埠 6-10,其他命令同上。
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan20
3560(config-if-range)#exit
3560(config)#int range f0/11-15
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan30
3560(config-if-range)#exit
3560(config)#int range f0/16-20
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchporta ccess vlan40
3560(config-if-range)#exit
3560(config)#int range f0/21-22
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan50
3560(config-if-range)#exit
為第 3 層交換機啟用路由,以便計算機可以相互訪問。
3560(config) no ip domain-loo 告訴路由器不要 DNS 字串它不知道。
3560(配置)IP 路由開始路由。
3. 為每個 VLAN 配置 IP 位址
3560(配置) int vlan 10 進入 VLAN 10
3560(config-if)#ip add 192.168.7.254 255.255.255.0 為 VLAN10 分配子網掩碼和 IP 位址。
3560(config-if) 不關閉以開啟埠。
3560(config-if) 退出。
3560(config)#int vlan 20
3560(config-if)#ip add 192.168.8.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 30
3560(config-if)#ip add 192.168.10.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 40
3560(config-if)#ip add 192.168.11.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 50
3560(config-if)#ip add 192.168.12.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
4. 建立訪問控制列表 (ACL)。
很多朋友可能會問,控制訪問列表有什麼用,我們先來了解一下它的作用。
訪問控制列表是應用於路由器介面的指令列表,它告訴路由器可以接收哪些資料包以及需要拒絕哪些資料包。
拒絕網路 192168.7.0 24 訪問這三個 IP 範圍。 168.11.0 24),而允許任何其他流量。
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 101 permit ip any any
拒絕網路 192168.8.0 24 訪問這三個 IP 範圍。 168.11.0 24),而允許任何其他流量。
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 102 permit ip any any
拒絕網路 192168.10.0 24 訪問這三個 IP 範圍。 168.11.0 24),而允許任何其他流量。
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 103 permit ip any any
拒絕網路 192168.11.0 24 訪問這三個 IP 範圍。 168.10.0 24),而允許任何其他流量。
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 104 permit ip any any
5. 將 ACL 應用於相應的 VLAN
3560(config)#int vlan10
3560(config-if)#ipaccess-group 101 in
3560(config-if)#exit
即使 vlan10 只能訪問 101 的列表。
3560(config)#int vlan20
3560(config-if)#ipaccess-group 102 in
3560(config-if)#exit
也就是說,vlan20 只能訪問 102 的列表。
3560(config)#int vlan30
3560(config-if)#ipaccess-group 103 in
3560(config-if)#exit
也就是說,vlan30 只能訪問 103 的列表。
3560(config)#int vlan40
3560(config-if)#ipaccess-group 104 in
3560(config-if)#exit
也就是說,vlan40 只能訪問 104 的列表。
wr 儲存配置檔案。
5.驗證測試。
1.機房。 1和2的計算機不能ping通網段中的計算機,但可以ping通網段12中的伺服器;
2.機房。 第三、第四網路的計算機不能ping通網段內的計算機,但可以ping通12個網段中的伺服器;
3.機房。 第五段和第六段的計算機不能ping通網段中的計算機,但可以ping通第十二段的伺服器;
4.機房7的計算機不能ping網段內的計算機,但可以ping網段12中的伺服器。