实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。
VLAN配置以及接口划分,与上联接口配置Trunk,只允许特定的VLAN通过
说明:这里以访客厅、高层人员、财务为例,生产部、业务部这里就不讲解了,配置方法与前面3个一模一样。
3.1 访客厅需要配置的VLAN
访客厅为VLAN 19,另外访客厅还有无线AP与VLAN 1的管理流量需要通过,所以放行的VLAN为1,19
system-view
[FKT]vlan 19
说明:这里定义了一个VLAN为19,因为默认VLAN1已经存在了,19是该访客厅流量通过的。
PC接入接口
[FKT]port-group 1
[FKT-port-group-1]group-member Ethernet 0/0/2 to Ethernet 0/0/22
[FKT-port-group-1]port link-type access
[FKT-port-group-1]port default vlan 19
说明:port-group的作用就是,把多个接口加入到一个组中,然后集中配置策略,这样可以简化配置,这里配置了将E0/0/2-22号接口都定义为Access接口,划入VLAN 19中,默认为Hybrid端口
接无线AP接口
interface e0/0/1
port hybrid tagged vlan 19
说明:接无线AP的接口,必须允许2个VLAN 通过,一个为VLAN 1,一个为VLAN 19,默认情况下VLAN1就允许通过,而且不打标签,VLAN 1为AP的管理流量,AP获得地址后需要通过该IP地址与AC进行通信协商隧道的,而VLAN 19则是业务流量,是PC访问外网或者内部流量转发的,所以必须放行2个VLAN
上联接口【连接核心1与2的接口】
[FKT]port-group 2
[FKT-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[FKT-GigabitEthernet0/0/2]port link-type trunk
[FKT-port-group-2]port trunk allow-pass vlan 1 19
说明:Group的作用与上面一样,这里定义2个上联接口为Trunk,并且允许了VLAN 1与19的流量通过。G0/0/1连接核心1,G0/0/2连接核心2
3.2 高层人员配置的VLAN
高层人员VLAN 为20,另外访客厅还有无线AP与VLAN 1的管理流量需要通过,所以放行的VLAN为1,20
说明,配置思路与访客厅一样,作用效果 也一样,参考访客厅的注释即可。
system-view
[boss]vlan 20
[boss]port-group 1
[boss-port-group-1]group-member e0/0/2 to e0/0/22
[boss-port-group-1]port link-type access
[boss-port-group-1]port default vlan 2
[boss]int e0/0/1
[boss-Ethernet0/0/1]port hybrid tagged vlan 20
[boss]port-group 2
[boss-port-group-2]group-member GigabitEthernet 0/0/1 to g0/0/2
[boss-port-group-2]port link-type trunk
[boss-port-group-2]port trunk allow-pass vlan 1 20
3.3 财务需要配置的VLAN
说明: 财务VLAN 为21,VLAN 1的管理流量需要通过,所以放行的VLAN为1,21 ,注意财务是没有无线的,其余的与访客厅,高层人员类似
system-view
[caiwu]vlan 21
[caiwu]port-group 1
[caiwu-port-group-1]group-member Ethernet 0/0/1 to e0/0/22
[caiwu-port-group-1]port link-type access
[caiwu-port-group-1]port default vlan 21
[caiwu]port-group 2
[caiwu-port-group-2]group-member g0/0/1 to g0/0/2
[caiwu-port-group-2]port link-type trunk
[caiwu-port-group-2]port trunk allow-pass vlan 1 21
特别建议,建议在上联交换机的接口上面,定义一个description,它的作用可以让您更加知道该接口接口连接的哪,方便后续排错、或者查看。
[FKT]int g0/0/1
[FKT-GigabitEthernet0/0/1]description connection to Core-A g0/0/24
这里的描述表示,就是该接口连接的核心A的G0/0/24号接口。
3.4 核心层 A需要配置的VLAN以及接口
由于案例这里只给出访客厅、高层人员、财务作为举例,所以只创建VLAN 19~21,而生产部与业务部是一样的配置,所以节省资源,就没配置了。
[Core-A]vlan batch 19 to 21,
说明:批量创建了VLAN 19~21,这里必须包含下面接入层所有的VLAN,因为,下面交换机都是连接到了核心A和B上面,所以需要创建所有VLAN,来总结所有的VLAN流量。
[Core-A]interface g0/0/24
[Core-A-GigabitEthernet0/0/24]description connection to fkt-g0/0/1
[Core-A-GigabitEthernet0/0/24]port link-type trunk
[Core-A-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19
说明:该接口是连接访客厅的交换机,做了一个描述 description ,然后允许了vlan 1与19的流量通过,因为访客厅只有VLAN 1与19的流量通过。
[Core-A]interface g0/0/23
[Core-A-GigabitEthernet0/0/23]description connection to boss-g0/0/2
[Core-A-GigabitEthernet0/0/23]port link-type trunk
[Core-A-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20
说明:该接口是连接boss的交换机,做了一个描述 description ,然后允许了vlan 1与20的流量通过,因为访客厅只有VLAN 1与20的流量通过。
[Core-A]int g0/0/21
[Core-A-GigabitEthernet0/0/21]port link-type trunk
[Core-A-GigabitEthernet0/0/21]port trunk allow-pass vlan 1 21
[Core-A-GigabitEthernet0/0/21]description connection to caiwu-g0/0/1
说明:该接口是连接财务的交换机,做了一个描述 description ,然后允许了vlan 1与21的流量通过,因为访客厅只有VLAN 1与21的流量通过。
特别建议:建议在重要的接口做description,这样只要一看就知道连接哪,并且标明了接口,很容易避免以后忘记接口接哪了,看下配置即可。
3.5 核心B需要配置的VLAN以及接口
由于案例这里只给出访客厅、高层人员、财务作为举例,所以只创建VLAN 19~21,而生产部与业务部是一样的配置,所以节省资源,就没配置了。
[Core-B]vlan batch 19 to 21
说明:批量创建了VLAN 19~21,这里必须包含下面接入层所有的VLAN,因为,下面交换机都是连接到了核心A和B上面,所以需要创建所有VLAN,来总结所有的VLAN流量。
[Core-B]int g0/0/24
[Core-B-GigabitEthernet0/0/24]description connection to FKT g0/0/2
[Core-B-GigabitEthernet0/0/24]port link-type trunk
[Core-B-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19
说明:该接口是连接访客厅的交换机,做了一个描述 description ,然后允许了vlan 1与19的流量通过,因为访客厅只有VLAN 1与19的流量通过。
[Core-B]int g0/0/23
[Core-B-GigabitEthernet0/0/23]port link-type trunk
[Core-B-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20
[Core-B-GigabitEthernet0/0/23]description connection to boss g0/0/1
说明:该接口是连接boss的交换机,做了一个描述 description ,然后允许了vlan 1与20的流量通过,因为访客厅只有VLAN 1与20的流量通过。
[Core-B]int g0/0/22
[Core-B-GigabitEthernet0/0/22]description connection to caiwu g0/0/2
[Core-B-GigabitEthernet0/0/22]port link-type trunk
[Core-B-GigabitEthernet0/0/22]port trunk allow-pass vlan 1 21
说明:该接口是连接财务的交换机,做了一个描述 description ,然后允许了vlan 1与21的流量通过,因为访客厅只有VLAN 1与21的流量通过。
特别建议:建议在重要的接口做description,这样只要一看就知道连接哪,并且标明了接口。
【这里Core-A与B之间的两条链路还未配置,这是因为待会在配置聚合的时候在一起配置,那个是聚合用的】
3.6 出口防火墙与核心交换机之间的接口划分
分析:核心交换机与出口防火墙之间,是一个三角形的结构,在交换机上面肯定是做接口划分到VLAN,然后起VLAN接口,与防火墙进行通信。 而防火墙则有两种办法与交换机通信,一种是也通过VLAN接口进行通信,第二种则是通过三层口与三层交换机之间通信。 推选第一种比较好,这种结构比较简单,路由配置起来也明确。而第二种方法则需要配置2个VLAN,然后2个网段与防火墙进行通信。
3.6.1 Core-A配置
[Core-A]vlan 100
说明:该100是用来单独连接防火墙的
[Core-A]interface g0/0/22
[Core-A-GigabitEthernet0/0/22]port link-type access
[Core-A-GigabitEthernet0/0/22]port default vlan 100
[Core-A-GigabitEthernet0/0/22]description connection to FW g0/0/8
说明:把接口划分到100中,做了一个描述,说明连接防火墙的 g0/0/8接口
3.6.2 Core-B配置
[Core-B]interface g0/0/21
[Core-B-GigabitEthernet0/0/21]port link-type access
[Core-B-GigabitEthernet0/0/21]port default vlan 100
[Core-B-GigabitEthernet0/0/21]description connection to FW G0/0/7
说明:把接口划分到100中,做了一个描述,说明连接防火墙的 g0/0/7接口
3.6.3 FW配置
system-view
[USG-GW]portswitch batch GigabitEthernet 0/0/7 to 0/0/8
说明:该命令的含义就是把三层接口切换为二层接口,默认为三层接口
[USG-GW]vlan 100
[USG-GW-vlan-100]port GigabitEthernet 0/0/7 to 0/0/8
说明:创建了VLAN 100,并且把G0/0/7~8加入了VLAN 100中
3.7 核心交换机与服务器集群交换机的配置
3.7.1 核心交换机A与B
[Core-A]vlan 88
[Core-A]int g0/0/20
[Core-A-GigabitEthernet0/0/20]description connection to server g0/0/2
[Core-A-GigabitEthernet0/0/20]port link-type trunk
[Core-A-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
说明:这里配置Trunk,是因为为了后续方便管理服务器交换机,如果不需要管理的话,则可以直接通过Access接口即可。
[Core-B]vlan 88
[Core-B]int g0/0/20
[Core-B-GigabitEthernet0/0/20]port link-type trunk
[Core-B-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
说明:这里配置Trunk,是因为为了后续方便管理服务器交换机,如果不需要管理的话,则可以直接通过Access接口即可。
3.7.2 服务器集群交换机配置
system-view
[Cluster Server]vlan 88
[Cluster Server]port-group 1
[Cluster Server-port-group-1]group-member g0/0/1 to g0/0/2
[Cluster Server-port-group-1]port link-type trunk
[Cluster Server-port-group-1]port trunk allow-pass vlan 1 88
[Cluster Server-port-group-1]description connection to Core-A-B
说明:第一个port-group是定义了连接核心交换机的接口为Trunk,并且允许1与88通过
[Cluster Server]port-group 2
[Cluster Server-port-group-2]group-member e0/0/1 to e0/0/2
[Cluster Server-Ethernet0/0/2]port link-type access
[Cluster Server-Ethernet0/0/2]port default vlan 88
说明:该2个接口是连接服务器用的,划入了对应的VLAN 88。
总结:至此整个VLAN的部署已经接口划分完毕,这里注意的地方就是Trunk,默认情况下只允许VLAN 1的流量通过,而其余流量是不允许的,所以需要允许需要的流量通过,如果不确定哪些VLAN的流量要通过,可以直接 permit all。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,,http://ccieh3c.com
下个星期一发布预告
华为 华三中小型企业网络架构搭建 【MSTP、链路聚合、VRRP部署】
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~
(广告)博主自主原创最新实战课程
(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题
