当企业网络规模扩大后,为了更有效地管理用户IP地址,为了更好地侦查网络攻击,设立VLAN虚拟局域网是非常有效的办法。本文是作者的实战总结,虽然文字量少,但字字关键。
例一 老广播局机房网络整改:扩容、防攻击
所有单位使用同一网段192.168.0.0/24,C类子网最多只能容纳253台主机(除去网关地址及广播地址)。加上用户水平有限,自已乱设IP地址,易造成IP地址冲突。若采用VLAN技术,为各单位分别划分不同的VLAN,可大大减少IP地址冲突的问题。即使出现冲突也便于查找故障。
由于处于同一局域网,若感染了针对局域网攻击的病毒,则会造成整网的瘫痪。基于VLAN能隔离广播域的原理,。若为每个单位划分一个网段,则病毒只能在该网段内传播,影响范围则明显减小,查杀相对容易得多。
基于以上原因的考虑,我们设计了以下整改方案
拓扑结构:
Cisco 3550上的配置
各单位上网的网关设置:
新建Vlan125、126等,设置其ip address为10.125.0.1/24,10.126.0.1/24,分别为各单位上网的网关地址。命令如下:
3550(config)#vlan 125
3550(config)#interface vlan 125
3550(config-if)#ip address 10.125.0.1 255.255.255.0 |
将port 8设置为trunk模式,封装IEEE 802.1Q 协议,允许该端口通过多个vlan,与光纤收发器相连。设置命令如下
3550(config)#interface fastEthernet 0/8
3550(config-if)#switchport trunk encapsulation dot1q
3550(config-if)#switchport mode trunk |
MP5124B上的配置
MP5124B是maipu公司的低端产品,采用GUI方式配置,操作简单方便。不能远程telnet。将port 23设为trunk模式。
VLAN配置界面
PVID配置界面
例二 为录制部单划VLAN的设置方法
拓扑结构
实现思路:
将cisco3550的第10口设为Trunk模式,允许多个VLAN通过,MP3024交换机的第1口设为T,port 12属于Vlan 150,接录制部主机。其余端口属于vlan 66,接配线架。
实现过程:
Cisco3550交换机上的配置
在cisco 3550上新建Vlan66、vlan150,并设置其vlan地址为10.66.0.1/16,10.150.0.1/24,由于录制部主机数较少,故将其设为C类子网。将port 10设置为T模式。主要配置命令如下:
3550(config)#interface fastEthernet 0/10
3550(config-if)#switchport trunk encapsulation dot1q
3550(config-if)#switchport mode trunk |
MP3024交换机上的配置
5floormaipu(config)#port 0/1
5floormaipu(config-port-0/1)#strip-vlan-tag disable //为1端口封装vlan标签
5floormaipu(config)#vlan 66
5floormaipu(config-vlan66)#port 0/0-0/11,0/13-0/23 member
//让除12端口以外的其余端口属于vlan66
5floormaipu(config)#vlan 150
5floormaipu(config-vlan150)#port 0/1,0/12 member //让1、12端口属于vlan150
5floormaipu(config-port-range)#pvid 66 //设置端口的pvid
5floormaipu(config-port-0/12)#pvid 150 |
这样配置完成后,录制部主机设为vlan150的地址后即可正常上网。MP交换机的trunk口设置必须让trunk端口属于它所要通过的vlan,这一点与cisco设备仅封装802.1q就能通过所有vlan是不同的。
注:本例用一个trunk端口传送两个vlan,可以扩展到更多个vlan,命令相似,在此笔者不再赘述。
