先概述一下背景:
公司是成立没多长时间的,对IT投入还不算差,所以设备都是新的,路由交换设备主要用华三产品,但都是中低端的,一台S5500-EI做三层核心设备,其它为S3100做接入,非常简单的网络结构,内外网物理隔断,而且外网只开放几台公用电脑集中管理,所以可以不考虑外网接入问题。但蛋痛的是前期不知道那位大神做的规划,300台电脑使用一个网段,所有交换机当傻瓜设备来使用!!那真是一个汗。
结果,还是杯具了,近段时间网络时断时续,arp攻击严重,但300多台设备,无从下手!只可以艰苦一周,决定对网络进行一次大的调整,重新规划,划分vlan!
为不影响正常上班时间的使用,只好在周末进行了,为日后的管理,使用静态IP,那一台一台设备更改IP,半夜还在机房调试设备,至今仍历历在目!!
废话不多说了,公司基本的网络图:
核心交换机S5500-EI主要配置:
#
version 5.20, Release 2215
#
sysname GDD_HeXin_Jh
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
#
domain default enable system
#
telnet server enable
#
gvrp -----开启全局 gvrp
#
acl number 3000 -----设置相关acl策略实现控制部分vlan不能互访
rule 1 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.32.0 0.0.0.255
rule 2 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.48.0 0.0.0.255
rule 3 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.64.0 0.0.0.255
rule 4 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.82.0 0.0.0.255
rule 5 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.84.0 0.0.0.255
rule 6 deny ip source 172.65.16.0 0.0.0.255 destination 172.65.86.0 0.0.0.255
acl number 3001
rule 1 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.16.0 0.0.0.255
rule 2 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.48.0 0.0.0.255
rule 3 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.32.0 0.0.0.255
rule 4 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.64.0 0.0.0.255
rule 5 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.84.0 0.0.0.255
rule 6 deny ip source 172.65.86.0 0.0.0.255 destination 172.65.82.0 0.0.0.255
acl number 3002
rule 1 deny ip source 172.65.32.0 0.0.0.255 destination 172.65.48.0 0.0.0.255
rule 2 deny ip source 172.65.32.0 0.0.0.255 destination 172.65.64.0 0.0.0.255
rule 3 deny ip source 172.65.32.0 0.0.0.255 destination 172.65.84.0 0.0.0.255
rule 4 deny ip source 172.65.32.0 0.0.0.255 destination 172.65.16.0 0.0.0.255
rule 5 deny ip source 172.65.32.0 0.0.0.255 destination 172.65.86.0 0.0.0.255
acl number 3003
rule 1 deny ip source 172.65.48.0 0.0.0.255 destination 172.65.16.0 0.0.0.255
rule 2 deny ip source 172.65.48.0 0.0.0.255 destination 172.65.32.0 0.0.0.255
rule 3 deny ip source 172.65.48.0 0.0.0.255 destination 172.65.64.0 0.0.0.255
rule 4 deny ip source 172.65.48.0 0.0.0