10月5日做了个小网络,象山XX大学的。总共用了11个S2700做接入层,1个S5700三层交换机做核心层,连接电信的 用了H3C的ER3260路由器。网络图如下:
,
由于老年大学分2幢楼,前面一幢的一楼有个机房,电信的网络拉到那里,所以把路由器,核心交换机都放那里了,并还有6个S2700做那里的接入 层。那里前面一幢跟后面一幢拉了2根网线连接,但是有5个S2700,而且S2700只有2个千兆口,其他都是百兆的。所以我只能在把后面一幢的S2700级联起来,前面核心交换机里用一根线连接到后面的一个S2700.前面那个机房接入层都是直接连到核心交换机的。没办法,凑合用把。
核心的S5700起了4个VLAN,vlan2,vlan3,vlan4,vlan5;默认的VLAN1是交换机的管理VLAN。那个学校里主要是2个机房,前面楼3楼有个机房,40台电脑,我划了一个VLAN,其他所有房间一个VLAN;后面那幢2楼有个机房也是40左右,也有个VLAN,剩下的办公室一个VLAN。因为2幢楼所有办公室就10台左右电脑,所以凑合用吧,也懒得每层起个VLAN.
S5700核心交换机还充当了DHCP服务器,所有VLAN都是它分配地址。
配置文件如下:
s5700
sysname coreswitch
vlan batch 2 to 5
quit
#添加4个VLAN。VLAN2,VLAN3 VLAN4,VLAN5
user-interface vty 0 4
authentication-mode aaa
quit
aaa
local-user huawei password cipher a123456
local-user huawei service-type ssh terminal telnet
local-user huawei privilege level 15
quit
#VTY全部用AAA认证。con就简单的用PASSWORD认证,所有交换机都是这个配置
user-interface console 0
authentication-mode password
set authentication password cipher a123456
quit
dhcp enable
interface vlanif 2
ip address 192.168.2.254 24
dhcp select interface
dhcp server dns-list 202.96.104.28
dhcp server dns-list 61.153.81.74
dhcp server excluded-ip-address 192.168.2.1
dhcp server excluded-ip-address 192.168.2.2
dhcp server lease day 3
quit
#DHCP服务器都配置在核心交换机上
interface vlanif 3
ip address 192.168.3.254 24
dhcp select interface
dhcp server dns-list 202.96.104.28
dhcp server dns-list 61.153.81.74
dhcp server excluded-ip-address 192.168.3.1
dhcp server excluded-ip-address 192.168.3.2
dhcp server lease day 3
quit
interface vlanif 4
ip address 192.168.4.254 24
dhcp select interface
dhcp server dns-list 202.96.104.28
dhcp server dns-list 61.153.81.74
dhcp server excluded-ip-address 192.168.4.1
dhcp server excluded-ip-address 192.168.4.2
dhcp server lease day 3
quit
interface vlanif 5
ip address 192.168.5.254 24
dhcp select interface
dhcp server dns-list 202.96.104.28
dhcp server dns-list 61.153.81.74
dhcp server excluded-ip-address 192.168.5.1
dhcp server excluded-ip-address 192.168.5.2
dhcp server lease day 3
quit
port-group trunk
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4 g0/0/6 g0/0/23 g0/0/21
port link-type trunk
port trunk allow-pass vlan all
quit
#5700的所有接口都不连客户端。
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
# 配置默认路由,192.168.1.1是路由器的地址
路由器路由器配置很简单,就加了4条静态路由:
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2
ip route-static 192.168.3.0 255.255.255.0 192.168.1.2
ip route-static 192.168.4.0 255.255.255.0 192.168.1.2
ip route-static 192.168.5.0 255.255.255.0 192.168.1.2
192.168.1.2是S5700的管理IP,
以下是接入层交换机的配置,因为配置几乎差不多,所以就列一个做参考
interface vlanif 1
ip address 192.168.1.3 24
quit
#这个是给交换机配置的管理IP,前面楼的接入交换机IP是192.168.1.2---192.168.1.7后面一幢是192.168.1.11---192.168.1.15这样的话内网任何一台都可以登录到交换机,都是AAA认证,跟5700一样。
vlan 2
quit
vlan 3
quit
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
所有的接入层的千兆口都是起TRUNK,连接到核心层。
port-group vlan2 添加端口组,
group-member ethernet 0/0/1 to ethernet 0/0/24
port link-type access 设置端口为ACCESS模式
port default vlan 2 加入VLAN2
stp edged-port enable
quit
华为里没有interface range fa0/1 - 24这样管理一组端口的命令,要先配置端口组,然后再做组配置。
华为里stp edged-port enable这句相当于CISCO里的spanning-tree portfast。因为连接的都是客户电脑。配置了这句端口就能立马进入转发状态。
其他的也没配置什么,什么安全之类的都没设置。因为他们网络简单,而且催的急,就先这样了,改天再去给他们弄其他的