- 项目背景
Jan16 公司技术部和财务部计算机的互联与隔离
——跨交换机 VLAN 的配置
某公司现有财务部和技术部,出于数据安全的考虑,各部门的计算机需进行隔离。公司办公地点有两层楼,他们通过两台 24 口二层交换机进行互联,两台交换机均通过 G0/0/1 互联。公司拓扑如图 1 所示,具体要求如下:
-
- 财务部和技术部在这两层楼均有员工办公,其中财务部计算机使用 SW1 的Eth0/0/1-5 端口及SW2 的Eth0/0/1-5 端口;技术部计算机使用SW1 的Eth0/0/6- 10 及 SW2 的 Eth0/0/6-10 端口。
- 出于安全的考虑,需在交换机中为各部门创建相应的 VLAN,在实现部门内跨交换机通信的同时避免部门间相互通信。
|
|
- 项目规划设计
图 1 网络拓扑图
为实现各部门之间的隔离,需在交换机创建 VLAN,并将各部门计算机的相应端口划分到相关的 VLAN 中,其中 VLAN10、VLAN20 分别用于财务部、技术部。同时,因同一个 VLAN 中的计算机分属在不同交换机上,故级联的通道应配置为 Trunk 类型,使其能传输不同 VLAN 的数据帧。
配置步骤如下:
- 创建 VLAN,配置 access 端口
- 配置交换机互联端口为 Trunk 模式
- 配置各部门计算机的 IP 地址规划如下表:
表 1-1 VLAN 规划表
| VLAN ID | IP 地址段 | 用途 |
| VLAN10 | 10.0.1.1-10/24 | 财务部 |
| VLAN20 | 10.0.1.11-20/24 | 技术部 |
表 1-2 端口规划表
| 本端设备 | 端口号 | 端口类型 | 对端设备 | 端口号 |
| SW1 | Eth0/0/1-5 | Access | 财务部 PC1 | LAN |
| SW1 | Eth0/0/6-10 | Access | 技术部 PC1 | LAN |
| SW1 | G0/0/1 | Trunk | SW2 | G0/0/1 |
| SW2 | Eth0/0/1-5 | Access | 财务部 PC2 | LAN |
| SW2 | Eth0/0/6-10 | Access | 技术部 PC2 | LAN |
| SW2 | G0/0/1 | Trunk | SW1 | G0/0/1 |
表 1-3 IP 地址规划表
| 计算机 | IP 地址 |
| 财务部 PC1 | 10.0.1.1/24 |
| 财务部 PC2 | 10.0.1.5/24 |
| 技术部 PC1 | 10.0.1.11/24 |
| 技术部 PC2 | 10.0.1.20/24 |
- 项目实施
- 创建 VLAN,配置端口模式为 Access
为各部门创建相应的 VLAN。
SW1 的配置
‚ SW2 的配置
将各部门计算机所使用的端口按部门分别组成端口组,统一将端口类型转换为 ACCESS 模式,并设置端口 PVID,将端口划分到相应的 VLAN
-
- SW1 的配置
-
- SW2 的配置
配置完成后,使用 display port vlan 命令检查 VLAN 和端口配置情况
(1)SW1 的配置
(2)SW2 的配置
- 配置交换机互联端口为 Trunk 模式
在 SW1 上配置 G0/0/1 为Trunk 端口,允许 VLAN10 和 VLAN20 通过
|
|
在 SW2 上配置 G0/0/1 为Trunk 端口,允许 VLAN10 和 VLAN20 通过
配置完成后,使用display port vlan GigabitEthernet 0/0/1 命令检查 GE0/0/1 端口配置情况
- 配置各部门计算机的 IP 地址
|
|
图 1-2 财务部-PC1 IP 配置图
|
|
图 1-4 财务部-PC2 IP 配置图
图 1-5 技术部-PC2 IP 配置图
- 项目验证
- 验证 SW1 交换机的 VLAN 配置信息.
在交换机使用命令 display vlan,查看交换机详细 vlan 信息。
-
- 验证 SW2 交换机的 VLAN 配置信息
[SW2]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged; MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D)
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D)
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D)
GE0/0/1(U) GE0/0/2(D)
10 common UT:Eth0/0/1(U) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D)
Eth0/0/5(D)
TG:GE0/0/1(U)
20 common UT:Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D)
Eth0/0/10(U)
TG:GE0/0/1(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001 10 enable default enable disable Fiance 20 enable default enable disable Technical
-
- 测试各部门计算机的互通性
通过 Ping 命令,测试各部门内部通信息的情况。
使用财务部计算机Ping 本部门的计算机:
使用财务部的计算机 Ping 技术部的计算机:
可以看出,将端口加入到不同的 VLAN 后,相同 VLAN 中的计算机可以互相通信,不同
VLAN 中的计算机则不可以互相通信。
扫一扫
2884
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
