中興實訓(五)——接入交換機VLAN設定企業組網規劃實驗
接入交換機VLAN設定企業組網規劃實驗
【實驗目的】
瞭解vlan的基本概念和基本原理。
掌握vlan的基本配置步驟。
三臺交換機通過VLAN劃分實現不同的埠下掛的電腦的互通和隔離。
詳細記錄每個步驟的操作結果。
環境:電腦4臺,交換機3臺,網線6根。
VLAN(Virtual Local Area Network,虛擬區域網)是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣。VLAN技術更加靈活,它具有以下優點: 網路裝置的移動、新增和修改的管理開銷減少;可以控制廣播活動;可提高網路的安全性。
【實驗內容】
1、實驗拓撲圖
2、資料規劃(兩個人一小組進行規劃資料,三個小組的IP地址建議分別用10/20/30.1.1.0/24):
(組長分配各小組的埠範圍和VLAN範圍,裝置互聯的埠建議三個小組共用,業務埠在各自規劃的範圍中使用。如果各小組分開用互聯埠,切記,一定要避免二層VLAN的環回,把埠從VLAN1中刪除,再進行交換機互聯)。
如上面組網圖所示,進行交換機組網。現在某公司有四個部門,分別是管理部電腦3臺、財務部電腦3臺、工程維護部電腦6臺,研發部電腦6臺,每個部門每臺交換機連線的電腦數量平均分配。現在要求如下,
1) 各部門內部電腦都可以相互通訊
2) 管理部門的電腦可以和任意部門的電腦進行通訊
3) 除管理部外其它部門的電腦不能和管理部之外的電腦進行通訊。
4) 每臺交換機下掛的工程維護部的電腦可以而且只可以TELNET登入到直連的交換機,但是不允許登入到其它交換機。
請根據上面要求對交換機的埠、VLAN、進行規劃
3、資料配置規劃資料驗證:
根據資料規劃進行交換機配置,並對規劃資料進行驗證,如果驗證出現問題,請修改規劃繼續驗證。
4、每組可以做一次,也可以做三次。
實驗結果:
1、匯出配置檔案:
匯出經過驗證的配置好的資料檔案做為作業發給老師。記住各組內部討論規劃,不允許出現雷同的資料配置。
- 請大家每組總結自己規劃資料和驗證資料中遇到的問題,以及問題處理方法。
- 資料規劃階段
- 開始時小組對於題目要求產生異議,(兩個人一小組進行規劃資料,三個小組的IP地址建議分別用10/20/30.1.1.0/24),對於這一段文字,許多組員認為三臺交換機應該分成三個網段,但如果這樣,管理部門則無法訪問其公司在其他vlan中的部門,如果更改ip地址訪問則與題意不符。
- 經過老師指點,明確了將每個公司的交換機劃分在同一網段中。10/20/30.1.1.0/24,指的是3個公司的網段,三個公司將每臺交換機一分為三,公司之間不能通訊。雖然現實生活中很難出現這種情況,公司之間的資訊保安性也不能保障。但是我們組大體的規劃已經成型,於是在草稿紙上畫好公司和交換機之間的通訊資訊,開始搭建網路。
- 規劃稿件,具體的規劃方略在下文的表格中詳細匯出。
- 配置引數
方案1:
由於不同公司間的IP網段理應不同,所以根據此無需考慮不同公司間互通的影響,使方案簡易化,但是由於工程維護部登陸的只有自己所直連的交換機,根據ipport設定的虛擬IP登陸,受限於一個ipport只能屬於1個vlan的原因,保證達到要求,需要為工程部劃分不同vlan,根據不同vlan的特點便可以達到登陸不同賬號的目的,即根據不同的ipport登陸埠進入交換機。
- 第一臺交換機埠屬性設定(16口交換機,VLAN1清空)
由於受到埠的限制,部分部門由2臺縮減為1臺,實際效果都一樣
|
A公司 |
埠號 |
1 |
2 |
3 |
4 |
5 |
6 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,4,5 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
4 |
4 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
B公司 |
埠號 |
7 |
8 |
9 |
10 |
||
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
研發部 |
|||
|
VLAN |
2,3,5,6 |
2,3 |
2,6,12,13 |
2,5 |
|||
|
PVID |
2 |
3 |
6 |
5 |
|||
|
Tag標記 |
untag |
untag |
untag |
untag |
|||
|
C公司 |
埠號 |
11 |
12 |
13 |
14 |
||
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
研發部 |
|||
|
VLAN |
2,3,5,7 |
2,3 |
2,7,14,15 |
2,5 |
|||
|
PVID |
2 |
3 |
7 |
5 |
|||
|
Tag標記 |
untag |
untag |
untag |
untag |
|||
|
公有埠 |
埠號 |
15 |
16 |
||||
|
Tag標記 |
Tag |
Tag |
Ipport屬性設定:
|
ipport |
ipaddress |
mask |
VlanId |
|
|
A公司 |
63 |
192.168.1.10 |
255.255.255.0 |
4 |
|
B公司 |
62 |
192.168.2.10 |
255.255.255.0 |
6 |
|
C公司 |
61 |
192.168.3.10 |
255.255.255.0 |
7 |
- 第二臺交換機埠屬性情況(24口交換機,VLAN1清空)
|
A公司 |
埠號 |
1 |
2 |
3 |
4 |
5 |
6 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
10 |
10 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
B公司 |
埠號 |
7 |
8 |
9 |
10 |
11 |
12 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
12 |
12 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
C公司 |
埠號 |
13 |
14 |
15 |
16 |
17 |
18 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
14 |
14 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
公有埠 |
埠號 |
19 |
20 |
21 |
22 |
23 |
24 |
|
Tag標記 |
tag |
tag |
tag |
tag |
tag |
tag |
|
ipport |
ipaddress |
mask |
VlanId |
|
|
A公司 |
63 |
192.168.1.20 |
255.255.255.0 |
10 |
|
B公司 |
62 |
192.168.2.20 |
255.255.255.0 |
12 |
|
C公司 |
61 |
192.168.3.20 |
255.255.255.0 |
14 |
- 第三臺交換機埠屬性情況(24口交換機,VLAN1清空,配置和第一臺交換機一樣)
|
A公司 |
埠號 |
1 |
2 |
3 |
4 |
5 |
6 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
11 |
11 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
B公司 |
埠號 |
7 |
8 |
9 |
10 |
11 |
12 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
13 |
13 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
C公司 |
埠號 |
13 |
14 |
15 |
16 |
17 |
18 |
|
所屬部門 |
管理部門 |
財務部 |
工程維護部 |
工程維護部 |
研發部 |
研發部 |
|
|
VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
|
PVID |
2 |
3 |
15 |
15 |
5 |
5 |
|
|
Tag標記 |
untag |
untag |
untag |
untag |
untag |
untag |
|
|
公有埠 |
埠號 |
19 |
20 |
21 |
22 |
23 |
24 |
|
Tag標記 |
tag |
tag |
tag |
tag |
tag |
tag |
Ipport屬性設定:
|
ipport |
ipaddress |
mask |
VlanId |
|
|
A公司 |
63 |
192.168.1.30 |
255.255.255.0 |
11 |
|
B公司 |
62 |
192.168.2.30 |
255.255.255.0 |
13 |
|
C公司 |
61 |
192.168.3.30 |
255.255.255.0 |
15 |
- 第一臺交換機屬性設定(部分設定後面有所變動)
- 第二臺交換機(部分設定後面有所變動)
- 第三臺交換機(部分設定後面有所變動)
1) 各部門內部電腦都可以相互通訊
2) 管理部門的電腦可以和任意部門的電腦進行通訊
3) 除管理部外其它部門的電腦不能和管理部之外的電腦進行通訊。
4) 每臺交換機下掛的工程維護部的電腦可以而且只可以TELNET登入到直連的交換機,但是不允許登入到其它交換機。
- A財務部(192.168.1.2)ping通A財務部(192.168.1.3)
- A管理部(192.168.1.2)ping通A管理部(192.168.1.3),財務部(192.168.1.13),工程部(192.168.1.24),研發部(192.168.1.35)
- A研發部(192.168.1.2)ping不通A財務部(192.168.1.3)
- A管理部(192.168.1.2)ping不通A交換機(192.168.1.20)
- A工程部(192.168.1.2)ping通交換機(192.168.1.20)
- A工程部(192.168.1.2)telnet交換機(192.168.1.20)
方案2
完全採用vlan劃分,即考慮不同公司相同子網的問題,即將上面的B和C公司改為不同VLAN即可,基本思路都差不多,可以將BC公司的VLAN都加10和20,基本思路和方案1一致,屬於方案1的完全版。
- 測試階段
第一階段測試有些草率,測試了幾個管理部的埠,能Ping通該公司其他部門後,沒有繼續測試。有個組員接了一交換機A公司財務部後發現仍能ping通該公司其他部門,就發現了問題。
有組員發現交換機之間的埠連線用的還是untag,這就導致幀通過交換機後pvid轉換成2進而通過vlan2進行通訊,使得不該通的部門之間也能互通了。修改成tag後,幀直接轉發,沒有修改pvid。
最後測試時發現,交換機1下的工程部不僅可以登陸到自己直連的交換機,還能登陸到其他兩臺交換機上。小組仔細研究發現在對工程部的劃分時出現了問題,在vlan4,6,7的基礎上把ipport 刪除,每個公司增加兩個vlan,劃入ipport並重新配置telnet,問題解決。
最後經過全組人員的認真實驗和總結完美解決上述問題!
- 小組總結
本次實驗從拓撲圖的規劃、設計,到並行網路的配置,再到最後的測試、修改,都由大部分小組組員合作完成。組員分工明確,在草稿上把拓撲圖和vlan分組畫的清晰仔細,配置工作進行的也迅速有效率。
ping部門時有許多不通的情況,組員又一起對程式碼進行了檢查,修改以後順利完成老師的要求。
基礎功能在第一天下午基本實現,進行了幾個簡單測試沒有發現問題。然而第二天進行細緻測試截圖時出現了不少問題。組員進行深入討論後,也諮詢了其他組的成員,制定出修改計劃,總算是圓滿解決了問題。。
這次實驗展現了小組的合作精神,每個人都參與進來,思考討論,才有了最後這份完整的實驗報告。然而我們仍發現許多不足,比方說測試的時候想當然,測試不全面不仔細。學習就是個精益求精的過程,做學問容不得一點馬虎。