中兴实训(五)——接入交换机VLAN设置企业组网规划实验
接入交换机VLAN设置企业组网规划实验
【实验目的】
了解vlan的基本概念和基本原理。
掌握vlan的基本配置步骤。
【实验任务】
三台交换机通过VLAN划分实现不同的端口下挂的电脑的互通和隔离。
详细记录每个步骤的操作结果。
环境:电脑4台,交换机3台,网线6根。
【实验原理】
VLAN(Virtual Local Area Network,虚拟局域网)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
【实验内容】
1、实验拓扑图
2、数据规划(两个人一小组进行规划数据,三个小组的IP地址建议分别用10/20/30.1.1.0/24):
(组长分配各小组的端口范围和VLAN范围,设备互联的端口建议三个小组共用,业务端口在各自规划的范围中使用。如果各小组分开用互联端口,切记,一定要避免二层VLAN的环回,把端口从VLAN1中删除,再进行交换机互联)。
如上面组网图所示,进行交换机组网。现在某公司有四个部门,分别是管理部电脑3台、财务部电脑3台、工程维护部电脑6台,研发部电脑6台,每个部门每台交换机连接的电脑数量平均分配。现在要求如下,
1) 各部门内部电脑都可以相互通信
2) 管理部门的电脑可以和任意部门的电脑进行通信
3) 除管理部外其它部门的电脑不能和管理部之外的电脑进行通信。
4) 每台交换机下挂的工程维护部的电脑可以而且只可以TELNET登录到直连的交换机,但是不允许登录到其它交换机。
请根据上面要求对交换机的端口、VLAN、进行规划
3、数据配置规划数据验证:
根据数据规划进行交换机配置,并对规划数据进行验证,如果验证出现问题,请修改规划继续验证。
4、每组可以做一次,也可以做三次。
实验结果:
1、导出配置文件:
导出经过验证的配置好的数据文件做为作业发给老师。记住各组内部讨论规划,不允许出现雷同的数据配置。
- 请大家每组总结自己规划数据和验证数据中遇到的问题,以及问题处理方法。
- 数据规划阶段
- 开始时小组对于题目要求产生异议,(两个人一小组进行规划数据,三个小组的IP地址建议分别用10/20/30.1.1.0/24),对于这一段文字,许多组员认为三台交换机应该分成三个网段,但如果这样,管理部门则无法访问其公司在其他vlan中的部门,如果更改ip地址访问则与题意不符。
- 经过老师指点,明确了将每个公司的交换机划分在同一网段中。10/20/30.1.1.0/24,指的是3个公司的网段,三个公司将每台交换机一分为三,公司之间不能通信。虽然现实生活中很难出现这种情况,公司之间的信息安全性也不能保障。但是我们组大体的规划已经成型,于是在草稿纸上画好公司和交换机之间的通信信息,开始搭建网络。
- 规划稿件,具体的规划方略在下文的表格中详细汇出。
- 配置参数
方案1:
由于不同公司间的IP网段理应不同,所以根据此无需考虑不同公司间互通的影响,使方案简易化,但是由于工程维护部登陆的只有自己所直连的交换机,根据ipport设置的虚拟IP登陆,受限于一个ipport只能属于1个vlan的原因,保证达到要求,需要为工程部划分不同vlan,根据不同vlan的特点便可以达到登陆不同账号的目的,即根据不同的ipport登陆端口进入交换机。
- 第一台交换机端口属性设置(16口交换机,VLAN1清空)
由于受到端口的限制,部分部门由2台缩减为1台,实际效果都一样
| A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,4,5 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
4 |
4 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| B公司 |
端口号 |
7 |
8 |
9 |
10 |
|
|
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
研发部 |
|
||
| VLAN |
2,3,5,6 |
2,3 |
2,6,12,13 |
2,5 |
|
||
| PVID |
2 |
3 |
6 |
5 |
|
||
| Tag标记 |
untag |
untag |
untag |
untag |
|
||
| C公司 |
端口号 |
11 |
12 |
13 |
14 |
|
|
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
研发部 |
|
||
| VLAN |
2,3,5,7 |
2,3 |
2,7,14,15 |
2,5 |
|
||
| PVID |
2 |
3 |
7 |
5 |
|
||
| Tag标记 |
untag |
untag |
untag |
untag |
|
||
| 公有端口 |
端口号 |
15 |
16 |
|
|||
| Tag标记 |
Tag |
Tag |
|
||||
Ipport属性设置:
|
|
ipport |
ipaddress |
mask |
VlanId |
| A公司 |
63 |
192.168.1.10 |
255.255.255.0 |
4 |
| B公司 |
62 |
192.168.2.10 |
255.255.255.0 |
6 |
| C公司 |
61 |
192.168.3.10 |
255.255.255.0 |
7 |
- 第二台交换机端口属性情况(24口交换机,VLAN1清空)
| A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
10 |
10 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| B公司 |
端口号 |
7 |
8 |
9 |
10 |
11 |
12 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
12 |
12 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| C公司 |
端口号 |
13 |
14 |
15 |
16 |
17 |
18 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
14 |
14 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| 公有端口 |
端口号 |
19 |
20 |
21 |
22 |
23 |
24 |
| Tag标记 |
tag |
tag |
tag |
tag |
tag |
tag |
|
|
ipport |
ipaddress |
mask |
VlanId |
| A公司 |
63 |
192.168.1.20 |
255.255.255.0 |
10 |
| B公司 |
62 |
192.168.2.20 |
255.255.255.0 |
12 |
| C公司 |
61 |
192.168.3.20 |
255.255.255.0 |
14 |
- 第三台交换机端口属性情况(24口交换机,VLAN1清空,配置和第一台交换机一样)
| A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
11 |
11 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| B公司 |
端口号 |
7 |
8 |
9 |
10 |
11 |
12 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
13 |
13 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| C公司 |
端口号 |
13 |
14 |
15 |
16 |
17 |
18 |
| 所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
| VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
| PVID |
2 |
3 |
15 |
15 |
5 |
5 |
|
| Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
| 公有端口 |
端口号 |
19 |
20 |
21 |
22 |
23 |
24 |
| Tag标记 |
tag |
tag |
tag |
tag |
tag |
tag |
Ipport属性设置:
|
|
ipport |
ipaddress |
mask |
VlanId |
| A公司 |
63 |
192.168.1.30 |
255.255.255.0 |
11 |
| B公司 |
62 |
192.168.2.30 |
255.255.255.0 |
13 |
| C公司 |
61 |
192.168.3.30 |
255.255.255.0 |
15 |
- 第一台交换机属性设置(部分设置后面有所变动)
- 第二台交换机(部分设置后面有所变动)
- 第三台交换机(部分设置后面有所变动)
1) 各部门内部电脑都可以相互通信
2) 管理部门的电脑可以和任意部门的电脑进行通信
3) 除管理部外其它部门的电脑不能和管理部之外的电脑进行通信。
4) 每台交换机下挂的工程维护部的电脑可以而且只可以TELNET登录到直连的交换机,但是不允许登录到其它交换机。
- A财务部(192.168.1.2)ping通A财务部(192.168.1.3)
- A管理部(192.168.1.2)ping通A管理部(192.168.1.3),财务部(192.168.1.13),工程部(192.168.1.24),研发部(192.168.1.35)
- A研发部(192.168.1.2)ping不通A财务部(192.168.1.3)
- A管理部(192.168.1.2)ping不通A交换机(192.168.1.20)
- A工程部(192.168.1.2)ping通交换机(192.168.1.20)
- A工程部(192.168.1.2)telnet交换机(192.168.1.20)
方案2
完全采用vlan划分,即考虑不同公司相同子网的问题,即将上面的B和C公司改为不同VLAN即可,基本思路都差不多,可以将BC公司的VLAN都加10和20,基本思路和方案1一致,属于方案1的完全版。
- 测试阶段
第一阶段测试有些草率,测试了几个管理部的端口,能Ping通该公司其他部门后,没有继续测试。有个组员接了一交换机A公司财务部后发现仍能ping通该公司其他部门,就发现了问题。
有组员发现交换机之间的端口连接用的还是untag,这就导致帧通过交换机后pvid转换成2进而通过vlan2进行通信,使得不该通的部门之间也能互通了。修改成tag后,帧直接转发,没有修改pvid。
最后测试时发现,交换机1下的工程部不仅可以登陆到自己直连的交换机,还能登陆到其他两台交换机上。小组仔细研究发现在对工程部的划分时出现了问题,在vlan4,6,7的基础上把ipport 删除,每个公司增加两个vlan,划入ipport并重新配置telnet,问题解决。
最后经过全组人员的认真实验和总结完美解决上述问题!
- 小组总结
本次实验从拓扑图的规划、设计,到并行网络的配置,再到最后的测试、修改,都由大部分小组组员合作完成。组员分工明确,在草稿上把拓扑图和vlan分组画的清晰仔细,配置工作进行的也迅速有效率。
ping部门时有许多不通的情况,组员又一起对代码进行了检查,修改以后顺利完成老师的要求。
基础功能在第一天下午基本实现,进行了几个简单测试没有发现问题。然而第二天进行细致测试截图时出现了不少问题。组员进行深入讨论后,也咨询了其他组的成员,制定出修改计划,总算是圆满解决了问题。。
这次实验展现了小组的合作精神,每个人都参与进来,思考讨论,才有了最后这份完整的实验报告。然而我们仍发现许多不足,比方说测试的时候想当然,测试不全面不仔细。学习就是个精益求精的过程,做学问容不得一点马虎。