论坛: 网站建设 标题: vlan的设计与实现 复制本贴地址    
作者: feng5 [feng5]       登录
      vlan的设计

  1.传统平面结构的校园网设计

  高校内部建筑众多,教学科研、行政管理、实验室和机房相对分散,不利于校园内部ip地址的分配。一般来说校园网可以申请到8~32个c类地址(这里假定为202.197.0.0~202.197.7.255),如果将这些ip地址全部集中到一个路由端口上(如图1),可能会因为子网中信息广播风暴,影响整个校园网络内部运行效率。

  2.vlan结构的网络设计

  为改变平面结构的路由,可在图中cisco 2511与switch之间增加一个内部路由设备cisco 4500和若干个cisco 5000交换机(如图2)。这样在每个4500的路由端口,可以将一个c类地址作为一个子网,在cisco 5000上配置12口光纤模块,可以通过光纤延伸到各楼房。

  �qvlan的实现


  以图2为例,要完成vlan的网络配置,需要在4500路由器和5000交换机分别设置(假设网络按照右表划分)。

子网号
c类地址
端口号
vlan名

1
202.197.0.*
5000a模块1(1,2)��5000b模块1(1)
nic

2
202.197.1.*
5000a模块2(1,2,3,4)
ca

3
202.197.2.*
5000a模块2(5)
cs

4
202.197.3.*
5000a模块2(6,7)
phy

5
202.197.4.*
5000a模块2(8,9,10)��5000b模块2(1,2,3)
auto

6
202.197.5.*
5000b模块2(4,5,6,7)
math



  ●cisco 4500中vlan的配置

  interface fastethernet0.1

  /*建立虚网f0.1~f0.7,f0.1缺省为主干通道*/

   description nic

  /*vlan名称为nic*/

   ip address 202.197.0.1 255.255.255.0 /*ip地址为 202.197.0.1,子网掩码为255.255.255.0 */

   encapsulation isl 1

  interface fastethernet0.2

   description ca

   ip address 202.197.1.1 255.255.255.0

   encapsulation isl 2

  ……

  interface fastethernet0.6

   description math

   ip address 202.197.5.1 255.255.255.0

   encapsulation isl 6

  ● cisco 5000a中vlan设置

  set interface sc0 1 202.197.0.3 255.255.255.0 202.197.0.255

  /*给定5000a的ip地址为202.197.0.3,指定访问交换机通过以太网接口*/

  set vtp domain sw.com mode server

  /*vlan的管理域名为sw.com,trunk协议操作模式为server*/

  set truck 1/1 on 1-6

  /*设置trunk*/

  set truck 1/2 on

  set vlan 1 1/1-2

  /*模块1的端口1到2属于子网1*/

  set vlan 2 2/1-4

  set vlan 3 2/5

  set vlan 4 2/6-7

  set vlan 5 2/8-10

  set vlan 6

  /*定义子网6以便5000b可以使用*/

  ● cisco 5000b中vlan设置

  set interface sc0 1 202.197.0.4 255.255.255.0 202.197.0.255

  set vtp domain sw.com mode client

  /*truck协议操作模式为client*/

  set truck 1/1 on 1-6

  set truck 1/2 on

  set vlan 1 1/1

  set vlan 5 2/1-3

  set vlan 6 2/4-7


  �qvlan的管理


  1.限制ip地址盗用

  在交换机中建立一张静态arp表,绑定ip地址和网卡mac地址。计算机如果从交换机的一个端口转到另一个端口时必须经过网络管理人员的同意,有利于整个网络的良好管理,以达到有效防止基于ip的网络计费中ip地址盗用的问题。

  arp 202.197.3.180 0800.3c50.8a9f arpa

  2.设置子网访问权限

  基于端口的vlan可以有效地管理和限制虚拟局域网之间的访问,让重要信息得到有效保护,防止非法入侵。各个部门可以各自使用本工作组的资源,增加了网络的安全性。

  (config)#

  interface fastethernet0.2

  /*选取2号子网进行管理*/

  (config-f0.2)#

  ip access-group 8 in

  /*指定可以访问的工作组*/

  (config)#

  access-list 8 permit 202.197.1.240

  /*指定可访问的主机*/

  access-list 8 permit 202.197.4.145




地主 发表时间: 04-05-19 10:43
回复: feng5 [feng5]      登录
VLAN感兴趣的朋友们千万不要错过哟!

B1层 发表时间: 04-05-19 21:13

论坛: 网站建设

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号