如何實現VLAN間的訪問?
祥版可以去我的今日頭條搜索查看500人局域網配置實戰(一)基礎版:單臂路由
500人局域網配置實戰(二)主流版:三層交換
(一)基礎版:單臂路由網絡架構規劃
如圖所示,網絡出口使用路由器或者防火墻實現NAT地址轉換,下聯核心交換機,實現流量匯聚,再部署接入交換機,實現用戶接入即可。500人規模,建議通過VLAN技術隔離廣播域,使用較多的是根據樓層或者部門劃分VLAN。
用戶網關直接指向路由器,路由器與下聯交換機通過單臂路由互聯。
單臂路由配置
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown #激活物理接口fa0/0
Router(config)#interface fastEthernet 0/0.1 #進入fa0/0.1虛擬子接口
Router(config-subif)#encapsulation dot1Q 10 #將虛擬子接口fa0/0.1劃分到vlan 10并封裝格式為802.1q
Router(config-subif)#ip address 192.168.10.1 255.255.255.0 #設置IP地址及子網掩碼
Router(config)#interface fastEthernet 0/0.2 #進入fa0/0.2虛擬子接口
Router(config-subif)#encapsulation dot1Q 20 #將虛擬子接口fa0/0.2劃分到vlan 20并封裝格式為802.1q
Router(config-subif)#ip address 192.168.20.1 255.255.255.0 #設置IP地址及子網掩碼
# 默認路由和NAT配置同前面50人規模基本一樣,此處貼上命令。
Int f0/0 #出接口配置地址(向運營商申請的地址是202.1.1.1/24)
Ip address 202.1.1.1 255.255.255.0
Ip route 0.0.0.0 0.0.0.0 202.1.1.2 #默認路由器,把出口訪問流量都扔給運營商(運營商對端地址為202.1.1.2)
access-list 1 permit 192.168.1.0 0.0.0.255 #匹配內網用戶流量
ip nat inside source list 1 interface fastethernet1/0 overload #將內網用戶流量在出口做NAT,轉換成接口f0/0地址訪問互聯網(關鍵字overload)
interface f0/0
ip nat outside #NAT的外側接口
int vlan 1
ip nat inside #NAT的內側接口(一定要注意,是SVI接口)
二層交換機配置
VLAN配置(SW1配置舉例)
Vlan 10
Vlan 20
Interface f1/1 #下行接口
Switch mode access
Switch access vlan 10
Interface f1/2 #下行接口
Switch mode access
Switch access vlan 10
Interface f1/3 #下行接口
Switch mode access
Switch access vlan 20
Interface f1/4 #上行接口
Switch mode trunk
Switch trunk allowed vlan all
如果出口不是路由器,而是防火墻,配置如下:
如果網絡出口為防火墻,而不是路由器,一般可以圖形化配置(其實路由器也可以圖形化配置,過程基本類似),配置步驟:
1、防火墻創建子接口ge0.10,并指定IP 地址,如下圖:
2、防火墻創建子接口ge0.20,并指定IP地址,如下圖:
(二)主流版:三層交換網絡架構分析
前面給大家介紹了500人規模局域網使用單臂路由的配置方法,其實在實際項目中,單臂路由已經用得比較少,更多是使用三層交換機。如下圖所示,網關起在三層交換機上,網絡出口通過路由器或防火墻實現NAT地址轉換,訪問互聯網。
實現步驟與思路
為了方便理解,我們通過GNS3模擬器,模擬實現此網絡。步驟如下:
1. 在GNS3中構建完整拓撲,并標注好IP地址。
2. 通過路由器模擬PC,并配置好PC地址及網關;
3. 配置二層交換機:VLAN劃分、access接口及trunk
4. 配置三層交換機:SVI接口,默認路由
5. 配置出口路由器:默認路由+靜態路由+NAT
GNS3拓撲如下所示:
PC配置
PC1配置(PC2-PC4配置類似,省略)
PC1(config)#no ip routing #路由器模擬PC,關閉路由功能
PC1(config)#int f0/0
PC1(config-if)#ip address 192.168.10.1 255.255.255.0 #配置PC地址
PC1(config)#ip default-gateway 192.168.10.254 #配置PC網關地址
二層交換機配置
SW1配置(SW2配置類似,省略)
SW1#conf t
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#interface FastEthernet1/1
SW1(config-if)# switchport access vlan 10
SW1(config-if)#interface FastEthernet1/2
SW1(config-if)# switchport access vlan 10
SW1(config-if)#interface FastEthernet1/3
SW1(config-if)# switchport access vlan 20
SW1(config-if)#interface FastEthernet1/0
SW1(config-if)# switchport mode trunk
三層交換機配置
L3_SW配置
L3_SW#configure terminal
L3_SW(config)#vlan 10
L3_SW(config-vlan)#vlan 20
L3_SW(config-vlan)#interface FastEthernet1/0
L3_SW(config-if)# switchport mode trunk
L3_SW(config-if)#interface FastEthernet1/1
L3_SW(config-if)# switchport mode trunk
L3_SW(config-if)#interface Vlan10
L3_SW(config-if)# ip address 192.168.10.254 255.255.255.0
L3_SW(config-if)#interface Vlan20
L3_SW(config-if)# ip address 192.168.20.254 255.255.255.0
驗證測試
配置好如上設備,可進行測試:
PC1#ping 192.168.10.254 #PC1可以ping通網關
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/215/1024 ms
PC1#ping 192.168.10.2 #PC1可以ping通PC2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/9/12 ms
PC1#ping 192.168.20.1 #PC1可以ping通PC3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/24 ms
PC1#ping 192.168.20.2 #PC1可以ping通PC4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms
PC1可以ping通PC2、PC3、PC4,局域網通信沒問題!后面配置訪問互聯網的通信。
核心交換機配置
L3_SW(config-if)#int f0/1
L3_SW(config-if)#ip add 192.168.1.2 255.255.255.0
L3_SW(config-if)#no sh
L3_SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 #不知道去向的流量默認扔給出口路由器
出口路由器配置
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int f0/0
R1(config-if)#ip add 202.1.1.1 255.255.255.252
R1(config-if)#no sh
R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.2 #去往內網VLAN10的流量扔給核心交換機
R1(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.2 #去往內網VLAN20的流量扔給核心交換機
R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255 #匹配源為VLAN10的流量
R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255 #匹配源為VLAN20的流量
R1(config)#ip nat inside source list 1 interface f0/0 overload #在出口路由器將內網流量NAT轉成出口F0/0地址
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
運營商側模擬配置(用路由器模擬運營商ISP)
Router#conf t
Router(config)#host ISP
ISP(config)#int f0/0
ISP(config-if)#ip add 202.1.1.2 255.255.255.252
ISP(config-if)#no sh
連通性測試
PC1#ping 202.1.1.2 #PC1可以訪問互聯網202.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/28/32 ms
PC1#traceroute 202.1.1.2 #查看PC1訪問互聯網的路徑
Type escape sequence to abort.
Tracing the route to 202.1.1.2
1 192.168.10.254 20 msec 12 msec 20 msec
2 192.168.1.1 20 msec 20 msec 20 msec
3 202.1.1.2 28 msec 32 msec 28 msec
R1#sh ip nat translations //查看NAT轉換項
Pro Inside global Inside local Outside local Outside global
icmp 202.1.1.1:5 192.168.10.1:5 202.1.1.2:5 202.1.1.2:5
udp 202.1.1.1:49266 192.168.10.1:49266 202.1.1.2:33440 202.1.1.2:33440
udp 202.1.1.1:49267 192.168.10.1:49267 202.1.1.2:33441 202.1.1.2:33441
udp 202.1.1.1:49268 192.168.10.1:49268 202.1.1.2:33442 202.1.1.2:33442
PC2、PC3、PC4上測試,均可ping 通ISP 202.1.1.2,實驗成功。
擴展延伸:不同VLAN DHCP自動分配地址
前面所有PC均使用固定IP,但很多單位會使用DHCP。DHCP大部分場景部署在核心交換機或者路由器上,只有極少場景使用專門DHCP服務器。下面以核心交換機部署DHCP為例。
在核心交換機上為不同VLAN DHCP分配VLAN
L3_SW(config)#ip dhcp pool vlan10 #配置地址池VLAN10
L3_SW(dhcp-config)#network 192.168.10.0 255.255.255.0
L3_SW(dhcp-config)#dns 114.114.114.114
L3_SW(dhcp-config)#default-router 192.168.10.254
L3_SW(dhcp-config)#ip dhcp excluded-address 192.168.10.254
L3_SW(config)#
L3_SW(config)#ip dhcp pool vlan20
L3_SW(dhcp-config)#network 192.168.20.0 255.255.255.0
L3_SW(dhcp-config)#dns 114.114.114.114
L3_SW(dhcp-config)#default-router 192.168.20.254
L3_SW(dhcp-config)#ip dhcp excluded-address 192.168.10.254
PC1配置(設置為DHCP獲取地址)
PC1(config)#int f0/0
PC1(config-if)#no ip address
PC1(config-if)#ip address dhcp
PC1(config)#no ip default-gateway 192.168.10.254
#如果長時間分配不到IP地址,建議把接口shutdown,然后重新打開;或者no ip address,然后重新配置ip address dhcp。配置完后測試:
PC1#sh ip int brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.10.1 YES DHCP up up
FastEthernet0/1 unassigned YES unset administratively down down
PC1#ping 202.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/243/1048 ms
(PC2/PC3/PC4,測試同理,此處省略)
總結
配置較多,若有興趣,可以在草稿紙上畫拓撲,自己動手模擬一下,不然會比較暈。通過如上講解,相信大家對中小型園區網有了初步認識。中小型園區網中應用最多的技術:
IP地址規劃、VLAN、NAT、靜態路由器、默認路由、ACL。
當然,大型園區網架構會復雜得多。比如雙核心冗余怎么做?網絡多出口怎么實現負載均衡?怎么實現訪問電信的流量走電信出口,訪問聯通的流量走聯通出口?核心交換機選擇盒式還是箱式設備?接入交換機幾十款,選擇哪一個?后續再給大家展開介紹……