典型VLAN划分过程
[align=center][b][font=宋体][size=18pt]典型VLAN划分配置过程[/size][/font][/b][/align][b][font=宋体][size=12pt]这个是我以前配置H3C交换机的过程,都是一些简单的命令,希望能对大家有用,不过有漏洞的地方还请高手指点一下。[/size][/font][/b]
[b][font=宋体][size=12pt]配置要求,定义VLAN17、VLAN18、VLAN19,在中心交换机上划分VLAN,要求电脑自动获取IP地址,不同的VLAN获取不同网段的IP:[/size][/font][/b]
[b][font=宋体][size=12pt]V17 (192.0.17.0/255.255.255.0)[/size][/font][/b]
[b][font=宋体][size=12pt]V18 (192.0.18.0/255.255.255.0)[/size][/font][/b]
[b][font=宋体][size=12pt]V19 (192.0.19.0/255.255.255.0)[/size][/font][/b]
[b][font=宋体][size=12pt]VLAN20[/size][/font][/b][b][font=宋体][size=12pt]:192.0.20.0[/size][/font][/b]
[b][font=宋体][size=12pt]配置DHCP服务器:[/size][/font][/b]
[font=宋体][size=12pt]IP[/size][/font][font=宋体][size=12pt]地址为:192.0.20.1,网关设置成192.0.20.2,新建三个作用域:192.0.17.0、192.0.18.0、192.0.19.0,DHCP服务器连接到中心交换机的一个端口上面,在这里我接到第二个端口上面。[/size][/font]
[b][font=宋体][size=12pt]在中心交换机上面设置:[/size][/font][/b]
[b][font=宋体][size=12pt]■首先设置TELNET登陆密码[/size][/font][/b]
[font=宋体][size=12pt][H3C]SUPER PASSWORD simple [i]password[/i]
//[/size][/font][font=宋体][size=12pt]为交换机超级用户设置密码[/size][/font]
[font=宋体][size=12pt][H3C]USER-INTERFACE VTY 0 [/size][/font]
[font=宋体][size=12pt][H3C-UI-VTY-0]AUTHENTICATION-MODE PASSWORD[/size][/font]
[font=宋体][size=12pt][H3C-UI-VTY-0]SET AUTHENTICATION-MODE PASSWORD SIMPLE simple[i] password[/i][/size][/font]
[b][font=宋体][size=12pt][/size][/font][/b]
[font=宋体][size=12pt][h3c]dhcp-server 1 ip 192.0.20.1[/size][/font]
[font=宋体][size=12pt]上面的意思是指定DHCP服务器地址,在全局模式下配置。下面的电脑就可以从这台DHCP上获取IP,如果有多台DHCP服务器,还可以设置,比如:DHCP-SERVER 2 IP 192.0.30.1。[/size][/font]
[font=宋体][size=12pt]■
[/size][/font][b][font=宋体][size=12pt]设置本地登陆密码[/size][/font][/b]
[b][font=宋体][size=12pt]这个密码是从CONSOL口登陆时需要输入的密码,为安全起见,还是建议设置一个这个密码。[/size][/font][/b]
[font=宋体][size=12pt]<H3C> system-view[/size][/font]
[font=宋体][size=12pt][H3C] user-interface aux 0[/size][/font]
[font=宋体][size=12pt][H3C-ui-aux0] authentication-mode password[/size][/font]
[font=宋体][size=12pt][H3C-ui-aux0]set authentication password simple[i] password[/i][/size][/font]
[font=宋体][size=12pt]■
[/size][/font][b][font=宋体][size=12pt]划分VLAN并分配IP[/size][/font][/b]
[b][font=宋体][size=12pt]下面的步骤是划分VLAN,并设置各个VLAN的IP地址,还要指定该VLAN下面的电脑是要从哪个DHCP上面获取IP。[/size][/font][/b]
[font=宋体][size=12pt]Vlan1:[/size][/font]
[font=宋体][size=12pt]interface Vlan-interface1
[/size][/font]
[font=宋体][size=12pt]ip address [i]IPAdress netmask[/i][/size][/font]
[font=宋体][size=12pt]上面是设置这台交换机的管理IP,默认都是VLAN1,当然可以把管理VLAN设置成其他VLAN。[/size][/font]
[b][font=宋体][size=12pt][h3c]vlan17[/size][/font][/b]
[font=宋体][size=12pt][Quidway-vlan17][b]port g1/0/17
//[/b][/size][/font][b][font=宋体][size=12pt]这里是把第17个端口划分到VLAN17[/size][/font][/b]
[font=宋体][size=12pt][Quidway-vlan17]interface Vlan-interface17[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface17]ip address 192.0.17.1 255.255.255.0[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface17]dhcp-server 1[/size][/font]
[font=宋体][size=12pt]//[/size][/font][font=宋体][size=12pt]上面的命令就是给VLAN17 设置IP地址,并指定DHCP服务器,当然有多台服务器的话还可以指定其他的DHCP服务器。比如DHCP-SERVER 2,这个必须是在前面已经定义了的DHCP服务器或则要DHCP路由可达才行。[/size][/font]
[b][font=宋体][size=12pt][h3c]vlan18[/size][/font][/b]
[font=宋体][size=12pt][Quidway-vlan18][b]port g1/0/18
[/b][/size][/font]
[font=宋体][size=12pt][Quidway-vlan18]interface Vlan-interface18[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface18]ip address 192.0.18.1 255.255.255.0[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface18]dhcp-server 1[/size][/font]
[b][font=宋体][size=12pt][h3c]vlan19[/size][/font][/b]
[font=宋体][size=12pt][Quidway-vlan19][b]port g1/0/19
[/b][/size][/font]
[font=宋体][size=12pt][Quidway-vlan19]interface Vlan-interface19[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface19]ip address 192.0.19.1 255.255.255.0[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface19]dhcp-server 1[/size][/font]
[b][font=宋体][size=12pt][h3c]vlan20[/size][/font][/b]
[font=宋体][size=12pt][Quidway-vlan20][b]port g1/0/2
[/b][/size][/font]
[font=宋体][size=12pt][Quidway-vlan20]interface Vlan-interface20[/size][/font]
[font=宋体][size=12pt][h3c-Vlan-interface20]ip address 192.0.20.1 255.255.255.0[/size][/font]
[font=宋体][size=12pt]//[/size][/font][font=宋体][size=12pt]这里划分的VLAN20是单独的VLAN,把第二个端口划分VLAN20,并分配VLAN20的IP地址:192.0.20.2。请结合前面看,这个IP地址正是DHCP服务器的网关。和DHCP服务器在同一个网段,端口2连接的正是DHCP服务器。[/size][/font]
[font=宋体][size=12pt]上面基本上已经把VLAN划分完了,下面的交换机接到第17、18、19个端口就可以获取IP了,当然要在DHCP上面建立三个作用域:192.0.17.0、192.0.18.0和192.0.19.0。这样才能获取到不同网段IP。万一下面的桌面交换机又有VLAN17、VLAN18,怎么办呢?这个时候就要把中心交换机上第17、18、19个端口和桌面交换机上连接中心交换机的端口设置成TRUNK,简单介绍一下怎样设置:[/size][/font]
[b][font=宋体][size=12pt]■设置TRUNK[/size][/font][/b]
[font=宋体][size=12pt][H3C]inter g1/0/17[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/17]port link-type trunk[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/17]port trunk permit vlan 17 18 19[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/17]inter g3/0/8[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/18]port link-type trunk[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/18]port trunk permit vlan 17 18 19[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/18]inter g3/0/9[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/19]port link-type trunk[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/19]port trunk permit vlan 17 18 19[/size][/font]
[font=宋体][size=12pt]这下就基本上设置好了,把电脑连接上去就可以通信了。当然,为了避免回路带来的影响,还可以在交换机上把会路保护打开,也简单介绍一下:[/size][/font]
[b][font=宋体][size=12pt]■所有端口开启回路保护。[/size][/font][/b]
[font=宋体][size=12pt][h3c]inter g1/0/1[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/1]stp loop-protection[/size][/font]
[font=宋体][size=12pt]…………………[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet1/0/48] stp loop-protection[/size][/font]
[font=宋体][size=12pt]上面的命令是避免产生拓扑环路带来的影响。[/size][/font]
[b][font=宋体][size=12pt]■开启回路自检监视[/size][/font][/b]
[font=宋体][size=12pt][H3C]loopback-detection enable[/size][/font]
[font=宋体][size=12pt]上面的命令是为了避免在交换机上产生自环带来的影响。在全局模式和端口模式下都要打开才行。[/size][/font]
[font=宋体][size=12pt]为了安全起见,我们还可以做简单访问控制,比如禁止VLAN17访问VLAN18 VLAN 19,简单介绍一下命令:[/size][/font]
[b][font=宋体][size=12pt]■首先要配置ACL[/size][/font][/b]
[font=宋体][size=12pt][H3C]acl number [color=#ff6600]3000 [/color]
//[/size][/font][font=宋体][size=12pt]数字的具体含义可以查一下资料[/size][/font]
[font=宋体][size=12pt][H3C-acl-adv-3000]rule 1 deny ip source 192.0.17.1 0.0.0.255 destination 192.0.18.1 0.0.0.255
//[/size][/font][font=宋体][size=12pt]禁止访问命令[/size][/font]
[font=宋体][size=12pt][H3C-acl-adv-3000]rule 2 deny ip source 192.0.17.1 0.0.0.255 destination 192.0.19.1 0.0.0.255[/size][/font]
[font=宋体][size=12pt][H3C-acl-adv-3000]inter g3/0/17[/size][/font]
[font=宋体][size=12pt][H3C-GigabitEthernet3/0/17]qos[/size][/font]
[font=宋体][size=12pt][H3C-qosb-GigabitEthernet3/0/17]packet-filter inbound ip-group 3000
//[/size][/font][font=宋体][size=12pt]激活命令[/size][/font]
[font=宋体][size=12pt]//[/size][/font][font=宋体][size=12pt]要激活这条命令才能起作用哦。[/size][/font]
[font=宋体][size=12pt][b]上面就是一个基本的VLAN划分事例,有不足的地方还请指出[/b]。[/size][/font]
[[i] 本帖最后由 qiudaowei 于 2008-8-25 20:13 编辑 [/i]] 这个好实用 看过了 精华!收藏!学习!!
页:
[1]
