前言
大家好,我是林先生网络工程案例:某学校机房项目交换机的配置,下面我们一起来看看有哪些知识点!
身体
1.学校项目配置案例
某学校计算机系承担市高中入学考试的计算机阅卷任务,市教育局要求学校提供400台计算机供修改试卷的教师使用同时,需要4台配置性能高的服务器才能访问400台客户端计算机。大学计算机系的400台计算机分布在7个机房中,这些机房由4个IP网段组成。
1.要求:为了安全起见,要求如下4 个网段中的计算机无法相互访问,但所有计算机。
双需要访问这 4 台服务器网络拓扑如图13-7所示。 经过研究,可以通过配置三层交换机来实现上述要求。
2、具体配置及IP地址分配方案如下:
假设:机房。
第一和第二的网线分别连接到三层交换机的F0 1和F0 2端口。
房间。 第三、第四的网线分别连接到三层交换机的F0 6和F0 7端口;
房间。 5、6的网线分别连接到三层交换机的F0 11和F0 12端口;
机房7的网线连接到三层交换机的F0 16端口;
服务器连接到第 3 层交换机的端口 F0 21。
每个数据中心的 IP 地址分配
房间。
I, II: IP: 192168.7.x 24,网关:192168.7.254
房间。
III、IV:IP:192168.8.x 24,网关:192168.8.254
房间。
五、六:ip:192168.10.x 24,网关:192168.10.254
7号机房:ip:192.168.11.x 24,网关:192168.11.254
服务器:ip:192.168.12.x 24,网关:192168.12.254
3.网络拓扑图。
4. 配置三层交换机。
本示例以Cisco三层交换机为例,具体配置命令如下: 一些重复的命令将不被注释。
1. 创建 5 个 VLAN
switch>
switch>en 进入特权模式。
切换配置进入全局配置模式。
switch(config) hostname 3560 将主机名更改为 3560
3560(配置) VLAN 10 创建 VLAN 10
3560(config-vlan) VLAN 20 创建 VLAN20
3560(config-vlan)#vlan 30
3560(config-vlan)#vlan 40
3560(config-vlan)#vlan 50
3560(config-vlan)#exit
2. 将端口分配给相应的 VLAN
3560(配置) int range f0 1-5 进入端口 1-5
3560(config-if-range) 交换机端口模式访问将端口设置为访问模式。
3560(config-if-range) 交换机端口接入 vlan10 将端口 1-5 添加到 vlan10。
3560(config-if-range) 退出。
3560(config) int range f0 6-10 进入端口 6-10,其他命令同上。
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan20
3560(config-if-range)#exit
3560(config)#int range f0/11-15
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan30
3560(config-if-range)#exit
3560(config)#int range f0/16-20
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchporta ccess vlan40
3560(config-if-range)#exit
3560(config)#int range f0/21-22
3560(config-if-range)#switchport mode access
3560(config-if-range)#switchport access vlan50
3560(config-if-range)#exit
为第 3 层交换机启用路由,以便计算机可以相互访问。
3560(config) no ip domain-loo 告诉路由器不要 DNS 字符串它不知道。
3560(配置)IP 路由开始路由。
3. 为每个 VLAN 配置 IP 地址
3560(配置) int vlan 10 进入 VLAN 10
3560(config-if)#ip add 192.168.7.254 255.255.255.0 为 VLAN10 分配子网掩码和 IP 地址。
3560(config-if) 不关闭以打开端口。
3560(config-if) 退出。
3560(config)#int vlan 20
3560(config-if)#ip add 192.168.8.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 30
3560(config-if)#ip add 192.168.10.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 40
3560(config-if)#ip add 192.168.11.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#int vlan 50
3560(config-if)#ip add 192.168.12.254 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
4. 创建访问控制列表 (ACL)。
很多朋友可能会问,控制访问列表有什么用,我们先来了解一下它的作用。
访问控制列表是应用于路由器接口的指令列表,它告诉路由器可以接收哪些数据包以及需要拒绝哪些数据包。
拒绝网络 192168.7.0 24 访问这三个 IP 范围。 168.11.0 24),而允许任何其他流量。
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 101 permit ip any any
拒绝网络 192168.8.0 24 访问这三个 IP 范围。 168.11.0 24),而允许任何其他流量。
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 102 permit ip any any
拒绝网络 192168.10.0 24 访问这三个 IP 范围。 168.11.0 24),而允许任何其他流量。
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
3560(config)#access-list 103 permit ip any any
拒绝网络 192168.11.0 24 访问这三个 IP 范围。 168.10.0 24),而允许任何其他流量。
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.7.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.8.0 0.0.0.255
3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
3560(config)#access-list 104 permit ip any any
5. 将 ACL 应用于相应的 VLAN
3560(config)#int vlan10
3560(config-if)#ipaccess-group 101 in
3560(config-if)#exit
即使 vlan10 只能访问 101 的列表。
3560(config)#int vlan20
3560(config-if)#ipaccess-group 102 in
3560(config-if)#exit
也就是说,vlan20 只能访问 102 的列表。
3560(config)#int vlan30
3560(config-if)#ipaccess-group 103 in
3560(config-if)#exit
也就是说,vlan30 只能访问 103 的列表。
3560(config)#int vlan40
3560(config-if)#ipaccess-group 104 in
3560(config-if)#exit
也就是说,vlan40 只能访问 104 的列表。
wr 保存配置文件。
5.验证测试。
1.机房。 1和2的计算机不能ping通网段中的计算机,但可以ping通网段12中的服务器;
2.机房。 第三、第四网络的计算机不能ping通网段内的计算机,但可以ping通12个网段中的服务器;
3.机房。 第五段和第六段的计算机不能ping通网段中的计算机,但可以ping通第十二段的服务器;
4.机房7的计算机不能ping网段内的计算机,但可以ping网段12中的服务器。