典型应用,企业网络vlan规划方案!

最新推荐文章于 2024-06-17 18:06:05 发布
最新推荐文章于 2024-06-17 18:06:05 发布
阅读量8.1k 收藏 45
点赞数 4

http://bbs.51cto.com/thread-874283-1.html


项目背景:

某企业集团在A市建立了总公司,因业务需要在B市建立分公司。需要实现A和B之间的通信,以及实现总公司和分公司的内部网络的正常通信!
A 总部:500台    总部有100台需要接入互联网              
B分公司:50台     分公司有10需要接入互联网
   
网络的规划:  外网IP为(路由串口IP地址)  A公司:10.0.1.10   B公司:10.0.1.20
总公司:办公室460台(其中100台需要使用Internet,他们分布在各个部门)无线网络20台。服务器区:20台!
分公司:办公室44台 (其中5台需要使用Internet,他们分布在各个部门),服务器1台

如何划分vlan以及IP地址的划分:
1.总公司有4个部门:
a(50台 都需要连接Internet)
b(100台  其中20台需要连接Internet)
c (120台 其中30台需要连接Internet)
d (190台  禁止访问Internet)
   需求:那么该如何划分vlan ,而且主机的地址需要dhcp自动分配获取。其中a b 两个部门可以上网,但c d不可以。并且各部门都可以访问公司的FTP服务器下载资料、能够使用域名来访问公司的网页。而且各部门之间不可以共享,不可以互相访问。

2.同样的分公司例如有3个部门: 
aa (15台 2台需要接入Internet)  
bb (16台  1台需要接入Internet)
cc (13台  2台需要接入Internet)

需要划分vlan,DHCP自动获取地址,可以使用FTP上传下载资料,可以访问公司网页!各部门之间不可以互相访问。




:这是前段时间参加CIW网络技术大赛时的实操部分的题目其中的网络规划部分( 只是其中的关于如何规划网络的部分)!需要在路由和交换机上具体做哪些动作!还望各位大侠不惜指教,十分感谢!拓扑图我简单的画了出来,其中用了一个云来代表ISP!
   
  主要是实现一部分可以上网,一部分人不能上网。各个vlan间不能互相通信,而且每个部门都能访问公司内部的FTP,www服务。总公司和分公司都是一样! 如果哪些地方写的不明白的希望指出了。
这是小弟之前,提出的一个问题,现在有了一个很好的答案,所有在此把两位午饭朋友的回答写到这里,并感谢各位午饭的热心帮助!:loveliness:

来自28楼syyzw1985:
说一下大概的思路吧,以前也配过相应的拓扑:
1.路由器上做nat、vpn(site-to-site),当然在nat的时候先deny走vpn的路由;
2.三层交换机,也就是核心交换机,划分vlan,和路由互联的时候可以走静态路由协议,把vlan宣告到路由器上;
3.子网划分,针对各个部门不同机器的台数,并划分相应的子网掩码,例如50台的机器,可以考虑用26位掩码;如果小于255太机器,都可以用192.168.*.*网段,只是要考虑子网掩码的长度而已;
4.至于能不能互访就是acl来定义了;
5.有关服务器,能用域名来访问www服务,也就是dns的问题,在你的dns服务器上,有个正向解析和反向解析,把www的ip地址填到相应的位置就行了;
6.至于dhcp,直接在三层交换机上启动就行了,注意dns server配置一定要正确,这样才能上网;
7.个人觉得,不要在乎配置什么的,因为那真的很简单,网上一搜一堆,关键是看你配置的思路,在什么地方适合配什么,用什么协议等,这样进步很快;

来自27楼onlyshenmin的回复:
 交换机的配置:
新增vlan10-vlan50.分别对应4个部分和服务器区
SW1(config)#vlan 10 #设置vlan10
SW1(config-vlan)#name a #取名为a
SW1(config)#vlan 20
SW1(config-vlan)#name b
SW1(config)#vlan 30
SW1(config-vlan)#name c
SW1(config)#vlan 40
SW1(config-vlan)#name d
SW1(config)#vlan 50
SW1(config-vlan)#name server
连接路由器的端口设为trunk
SW1(config)#int f0/1
SW1(config-if)#switchport mode trunk
连接电脑的端口加入vlan30 按照实际情况加
SW1(config)#int f0/13
SW1(config-if)#switchport access vlan 30

路由器的配置:
R1(config)#interface FastEthernet0/0   #设置外网接口地址
R1(config-if)#ip address 10.0.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface FastEthernet0/1
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.1   #设置子接口f0/1.1
R1(config-if)encapsulation dot1Q 10   #对应vlan10
R1(config-if)ip address 192.168.1.1 255.255.255.0 #设置地址
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.2   
R1(config-if)encapsulation dot1Q 20
R1(config-if)ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.3
R1(config-if)encapsulation dot1Q 30
R1(config-if)ip address 192.168.3.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.4
R1(config-if)encapsulation dot1Q 40
R1(config-if)ip address 192.168.4.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/5.1
R1(config-if)encapsulation dot1Q 50
R1(config-if)ip address 192.168.5.1 255.255.255.0
R1(config-if)#no shutdown
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0   #默认路由
建立dhcp服务器
R1(config)# ip dhcp pool a    #部门a地址池a
R1(dhcp-config)#network 192.168.1.0 255.255.255.0 #网段
R1(dhcp-config)#default-router 192.168.1.1  #客户端网关
R1(config)# ip dhcp pool b    #部门b地址池b
R1(dhcp-config)#network 192.168.2.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.2.1
R1(config)# ip dhcp pool c    #部门c地址池
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.3.1
R1(config)# ip dhcp pool d    #部门d地址池
R1(dhcp-config)#network 192.168.4.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.4.1
R1(config)# ip dhcp pool e    #服务器地址池可不设
R1(dhcp-config)#network 192.168.5.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.5.1
R1(config)# service dhcp     #启用dhcp服务
建立访问控制列表
R1(config)ip access-list extended v10   #扩展访问控制列表v10
R1(config-ext-nacl)#deny ip any 192.168.2.0 0.0.0.255 #拒绝到vlan20的流量
R1(config-ext-nacl)#deny ip any 192.168.3.0 0.0.0.255 #拒绝到vlan30的流量
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255 #拒绝到vlan40的流量
R1(config-ext-nacl)#permit ip any any   #允许除上面拒绝之外的所有流量
R1(config)ip access-list extended v20   #扩展访问控制列表v20
R1(config-ext-nacl)#deny ip any 192.168.1.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.3.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 #允许vlan40到vlan50的流量
R1(config-ext-nacl)#permit ip host 192.168.2.101 any #允许主机192.168.1.101发出的任何流量(除上面几条已经拒绝的之外)。这就是允许上网的部分主机的ip地址
R1(config-ext-nacl)#permit ip host 192.168.2.102 any
R1(config-ext-nacl)#permit ip host 192.168.2.120 any
R1(config-ext-nacl)#deny ip any any   #拒绝任何流量(除上面几条允许的流量之外)
R1(config)ip access-list extended v30   #扩展访问控制列表v30
R1(config-ext-nacl)#deny ip any 192.168.1.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.2.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config-ext-nacl)#permit ip host 192.168.3.101 any
R1(config-ext-nacl)#permit ip host 192.168.3.102 any
R1(config-ext-nacl)#permit ip host 192.168.3.130 any
R1(config-ext-nacl)#deny ip any any
R1(config)ip access-list extended v40   #扩展访问控制列表v40
R1(config-ext-nacl)#permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config-ext-nacl)#deny ip any any
应用访问控制列表
R1(config)interface FastEthernet0/1.1
R1(config-if)ip access-group v10 in   #在子接口f0/1.1的in方向上应用访问控制列表 v10
R1(config)interface FastEthernet0/1.2
R1(config-if)ip access-group v20 in
R1(config)interface FastEthernet0/1.3
R1(config-if)ip access-group v30 in
R1(config)interface FastEthernet0/1.4
R1(config-if)ip access-group v40 in
启用NAT上网
使用访问控制列表确定需要nat转换的网段
R1(config)ip access-list standard lan
R1(config-ext-nacl)#permit 192.168.0.0 0.0.255.255
#我这是为了简单,所以用了扩大范围的子网
使用接口NAT即PAT
R1(config)#ip nat inside source list lan interface FastEthernet0/0 overload
#通过f0/0接口(也可用ip或者ip地址池,自己研究吧)进行nat转换,转换网络为访问控制列表lan里所包含的子网
R1(config)interface FastEthernet0/1.1   #在接口f0/1.1上启用nat,并说明为inside内部接口
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.2   #在接口f0/1.2上启用nat,并说明为inside内部接口
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.3   #在接口f0/1.3上启用nat,并说明为inside内部接口
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.4   #在接口f0/1.4上启用nat,并说明为inside内部接口
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.5   #服务器不上网可不启用
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/0   #在接口f0/0上启用nat,并说明为outside外部接口
R1(config-if)#ip nat outside
配置服务器映射到internet,可通过公网ip进行访问
R1(config)ip nat inside source static 192.168.5.101 10.0.1.101    #将内外192.168.5.101映射到公网ip 10.0.1.101
R1(config)ip nat inside source static 192.168.5.102 10.0.1.102
如果采用站点间vpn,命令太繁琐,使用cisco的sdm图形管理工具进行设置。并且需要修改上面的访问控制列表,加入允许对对方站点内网网段进行访问的策略。
drcwr
关注
  • 4
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用三层交换机实现大中型企业VLAN方案
03-04
在普通的小型企业中,采用路由器方式划分VLAN是一种节约成本的方法,不过在大中型企业中,采用路由器方式划分VLAN会严重影响企业网络的性能,而VLAN间的通信必需通过 路由才能实现,因此,具有路由功能的三层交换机被广泛应用于大中型企业VLAN网络中。但我们必需清楚一点,就是采用三层交换机的VLAN网络同样需要路 由器,只不过路由器只是企业网络和互联网的连接工具,VLAN间的通信不会靠路由器来实现。
vlan规划方案
weixin_33995481的博客
02-28 1770
一个vlan对应一个子网,同时一个vlan的三层接口对应一个子网的网关,所以通常按照一个企业的部门规划vlan。注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP。 例如:假设一个公司有三个业务部门,一个技术管理部门,那么每一个部门规划一个vlan,同时vlan内的所有客户端PC的网关都指向该vlan接口IP。 IP地...
华为中小企业组网
最新发布
陪我养猪吧的博客
06-17 1284
中小企业网络架构
VLAN的划分及设计方案
城下深蓝的博客
05-29 2185
VLAN的划分及设计方案
VLAN划分
g_l_d_y的博客
11-09 542
当网络中主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题,所以需要VLAN技术
Unifi(Ubnt)如何实现办公室网络搭建和VLAN划分
开心就好了啦
05-19 4348
防火墙
VLAN技术详解:如何使用虚拟局域网优化企业网络架构
weixin_43263566的博客
11-26 1435
VLAN(Virtual LAN)虚拟局域网
基于华为eNSP的中小企业办公园区/校园网络规划与设计
10-18
在设计原则以及设计需求的前提下,对企业办公园区进行网络规划设计,其中分为两大部分,一部分是进行网络拓扑结构搭建,其中包括对设备及端口进行了相应的配置;另一部分是对整体、部分的网络功能进行相关的网络仿真...
06数据中心网络 整体规划设计.pptx
06-03
在数据中心网络平面设计规划中,会根据业务需求进行IP地址规划VLAN规划。IP地址规划应确保地址的合理分配,避免冲突,同时考虑未来扩展。VLAN规划则是为了隔离不同类型的流量,减少广播域,提高网络效率。常见的...
基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的...该topo适合了解并熟知单个组网技术的小伙伴,并想学习将单个技术组合应用的小伙伴,使用场景适用于毕业设计、校园网络规划企业网络规划等场合
大中型企业典型网络方案设计方案-Read.pdf
08-22
"大中型企业典型网络方案设计方案" 大中型企业典型网络方案设计方案是指一种分布式交换网络设计方案,具有清晰的分层模型:接入层、汇聚层、核心层。该方案充分考虑了各个主机的流量需求,关键设备实现冗余备份,...
企业PaaS云平台应用交付方案.pptx
10-10
企业 PaaS 云平台应用交付方案 本文将从标题、描述、标签和部分内容等方面,详细解读企业 PaaS 云平台应用交付方案,并.generated 相关知识点。 为什么要建设 PaaS 云 随着云计算服务的发展,企业 IT 系统面临...
VLAN划分-思科模拟器-基础回顾
garliccc的博客
04-07 1928
VLAN划分-思科模拟器-基础回顾 VLAN(Virtual Local Area Network)是虚拟局域网的简称,是指将一个或者多个局域网中的设备通过配置,能够像连接在一个信道中进行通信,实际它们分布在不同的局域网网段中。 在802.1Q帧的帧结构,帧中的tag字段中有一个12位的VLAN ID,指明该数据帧所属的VLAN的ID。每个支持802.1Q标准的设备发送的数据帧都会包含该域,该字段为12比特,理论上支持2^12=4096个VLAN,范围为0-4095,但是VLAN0用于识别帧的优先级,40
企业多部门VLAN间互访部署实战
xiaoli8748的专栏
10-31 544
- 2.数据通信 = 常见 单播通信 广播通信 - 一对所有 - 内网技术ARP - 已知对方ip地址 求得对方mac地址。-- 因此进行内网的隔离 - 把一个大的局域网 划分成N多割小局域网 - 小局域网 = VLAN。-- mac地址 - 物理地址 - 网卡地址 - 硬件地址。-- VLAN - 把一个大的局域网 做一个分割。-- VLAN技术 - 虚拟局域网。2. 三层交换机上如何部署VLAN
基于IPv6汇总路由网络部署
zip471642048的博客
12-23 3189
实验拓扑 Jan16公司有北京总部、广州分部和上海分部3个办公地点,各分部与总部之间使用路由器互联。北京、上海、广州的路由器分别为R1、R2、R3,路由器,全网使IPv6进行组网。北京总部共有财务部、市场部和技术部3 个部门,需划分单立的VLAN。现需对路由器进行相应配置,使所有计算机能够互相访问。 1. 基本配置 IP地址规划表如下: 端口规划表如下: 路由规划表如下: 2. 配置交换机接口 为各部门创建相应的VLAN,将端口划分至相应VLAN [Huawei]system-view [Huawei]s
划分VLAN和划分子网
hiphop1522的博客
09-04 2477
广播域 VLAN 子网
助力网络管理的利器:企业办公网络中的VLAN划分策略
laobaisoft的博客
08-30 1035
在实施VLAN划分时,需要注意设计合理VLAN ID,结合合适的网络设备和管理工具,确保网络的性能和安全性。通过合理VLAN划分,企业可以实现网络资源的隔离、流量的控制和安全策略的实施,提升办公网络的效率和可靠性。通过合理VLAN划分,可以实现网络资源的隔离、流量的控制和安全策略的实施,提升办公网络的效率和可靠性。综上所述,面对企业办公网络中VLAN划分的挑战,通过完善的规划和设计,结合合适的网络设备和技术支持,可以解决复杂的网络拓扑和架构、VLAN间的通信和路由配置和管理等问题。
VLAN基本原理和配置实例,基于端口规划VLAN、mac规划VLAN、IP规划VLAN
weixin_41500064的博客
02-03 2781
如图2所示,PC1、PC2、PC3为本部门员工的PC,要求这几台PC可以通过SwitchA、Switch访问公司网络,如换成其他PC则不能访问。现需要将不同类型的业务划分到不同的VLAN中,通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。可以在交换机上配置基于端口划分VLAN,把业务相同的用户连接的端口划分到同一VLAN。某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN
小型企业网络设计:路由交换技术实践
"小型企业网络设计方案" 在设计小型企业网络时,首要任务是对企业的需求进行深入分析。在这个案例中,企业拥有300个节点,需要构建一个内部网络以促进各部门之间的通信,并与外界保持联系。网络应具备高效、可靠、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值