校园网VLAN的设计和管理-路由交换-zhiding-网络频道-至顶网

ZDNet>网络频道>ZD评测>校园网VLAN的设计和管理

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

高校内部建筑众多，教学科研、行政管理、实验室和机房相对分散，不利于校园内部IP地址的分配。

来源：zdnet网络安全 2008年03月18日

　　VLAN的设计　

　　1.传统平面结构的校园网设计

　　高校内部建筑众多，教学科研、行政管理、实验室和机房相对分散，不利于校园内部IP地址的分配。一般来说校园网可以申请到8～32个C类地址(这里假定为202.197.0.0～202.197.7.255)，如果将这些IP地址全部集中到一个路由端口上(如图1)，可能会因为子网中信息广播风暴，影响整个校园网络内部运行效率。

　　2.VLAN结构的网络设计

　　为改变平面结构的路由，可在图中Cisco2511与Switch之间增加一个内部路由设备Cisco 4500和若干个Cisco 5000交换机(如图2)。这样在每个4500的路由端口，可以将一个C类地址作为一个子网，在Cisco 5000上配置12口光纤模块，可以通过光纤延伸到各楼房。

　　VLAN的实现

　　以图2为例，要完成VLAN的网络配置，需要在4500路由器和5000交换机分别设置(假设网络按照右表划分)。

　　子网号 C类地址端口号 VLAN名

　　1 202.197.0.* 5000A模块1(1，2)5000B模块1(1) NIC

　　2 202.197.1.* 5000A模块2(1，2，3，4) CA

　　3 202.197.2.* 5000A模块2(5) CS

　　4 202.197.3.* 5000A模块2(6，7) PHY

　　5 202.197.4.* 5000A模块2(8，9，10)5000B模块2(1，2，3) AUTO

　　6 202.197.5.* 5000B模块2(4，5，6，7) MATH

　　●Cisco 4500中VLAN的配置

　　Interface FastEthernet0.1

　　/＊建立虚网f0.1～F0.7,f0.1缺省为主干通道＊/

　　Description NIC

　　/＊VLAN名称为NIC＊/

　　IP address 202.197.0.1 255.255.255.0 /＊IP地址为 202.197.0.1，子网掩码为255.255.255.0 ＊/

　　Encapsulation isl 1

　　Interface FastEthernet0.2

　　Description CA

　　IP address 202.197.1.1 255.255.255.0

　　Encapsulation isl 2

　　……

　　Interface FastEthernet0.6

　　Description MATH

　　IP address 202.197.5.1 255.255.255.0

　　Encapsulation isl 6

　　● Cisco5000A中VLAN设置

　　Set interface sc0 1 202.197.0.3 255.255.255.0 202.197.0.255

　　/＊给定5000A的IP地址为202.197.0.3，指定访问交换机通过以太网接口＊/

　　Set vtp domain sw.com mode server

　　/＊VLAN的管理域名为sw.com，Trunk协议操作模式为server＊/

　　Set truck 1/1 on 1－6

　　访问地址 http://www.qqread.com/network/d17/a365063.html

　　/＊设置Trunk＊/

　　Set truck 1/2 on

　　Set vlan1 1/1－2

　　/＊模块1的端口1到2属于子网1＊/

　　Set vlan 2 2/1－4

　　Set vlan 3 2/5

　　Set vlan 4 2/6－7

　　Set vlan 5 2/8－10

　　Set vlan 6

　　/＊定义子网6以便5000B可以使用＊/

　　● Cisco5000B中VLAN设置

　　Set interface sc0 1 202.197.0.4 255.255.255.0 202.197.0.255

　　Set vtp domain sw.com mode client

　　/＊Truck协议操作模式为client＊/

　　Set truck 1/1 on 1－6

　　Set truck 1/2 on

　　Set vlan 1 1/1

　　Set vlan 5 2/1－3

　　Set vlan 6 2/4－7

　　VLAN的管理

　　1.限制IP地址盗用

　　在交换机中建立一张静态ARP表，绑定IP地址和网卡MAC地址。计算机如果从交换机的一个端口转到另一个端口时必须经过网络管理人员的同意，有利于整个网络的良好管理，以达到有效防止基于IP的网络计费中IP地址盗用的问题。

　　ARP 202.197.3.180 0800.3c50.8a9f ARPA

　　2.设置子网访问权限

　　基于端口的VLAN可以有效地管理和限制虚拟局域网之间的访问，让重要信息得到有效保护，防止非法入侵。各个部门可以各自使用本工作组的资源，增加了网络的安全性。

　　(config)＃

　　interface FastEthernet0.2

　　/＊选取2号子网进行管理＊/

　　(config－f0.2)＃

　　ip access－group 8 in

　　/＊指定可以访问的工作组＊/

　　(config)＃

　　access－list 8 permit 202.197.1.240

　　/＊指定可访问的主机＊/

　　access－list 8 permit 202.197.4.145

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

热点文章
热评文章
厂商动态

业界热点:

技术关键字: