VLAN实战:机房网络如何有效升级整改

鸿鹄

当企业网络规模扩大后，为了更有效地管理用户IP地址，为了更好地侦查网络攻击，设立VLAN虚拟局域网是非常有效的办法。本文是作者的实战总结，虽然文字量少，但字字关键。
　　例一 老广播局机房网络整改：扩容、防攻击
　　所有单位使用同一网段192.168.0.0/24，C类子网最多只能容纳253台主机(除去网关地址及广播地址)。加上用户水平有限，自已乱设IP地址，易造成IP地址冲突。若采用VLAN技术，为各单位分别划分不同的VLAN，可大大减少IP地址冲突的问题。即使出现冲突也便于查找故障。
　　由于处于同一局域网，若感染了针对局域网攻击的病毒，则会造成整网的瘫痪。基于VLAN能隔离广播域的原理，。若为每个单位划分一个网段，则病毒只能在该网段内传播，影响范围则明显减小，查杀相对容易得多。
　　基于以上原因的考虑，我们设计了以下整改方案
　　拓扑结构：Cisco 3550上的配置
　　各单位上网的网关设置：
　　新建Vlan125、126等，设置其ip address为10.125.0.1/24，10.126.0.1/24，分别为各单位上网的网关地址。命令如下：

[pre]3550(config)#vlan 125 　　3550(config)#interface vlan 125       　　3550(config-if)#ip address 10.125.0.1 255.255.255.0[/pre]

    将port 8设置为trunk模式，封装IEEE 802.1Q 协议，允许该端口通过多个vlan，与光纤收发器相连。设置命令如下

[pre]3550(config)#interface fastEthernet 0/8 　　3550(config-if)#switchport trunk encapsulation dot1q       　　3550(config-if)#switchport mode trunk[/pre]

MP5124B上的配置
　　MP5124B是maipu公司的低端产品，采用GUI方式配置，操作简单方便。不能远程telnet。将port 23设为trunk模式。 例二 为录制部单划VLAN的设置方法
　　拓扑结构
   
    实现思路：
　　将cisco3550的第10口设为Trunk模式，允许多个VLAN通过，MP3024交换机的第1口设为T，port 12属于Vlan 150，接录制部主机。其余端口属于vlan 66，接配线架。实现过程：
　　Cisco3550交换机上的配置
　　在cisco 3550上新建Vlan66、vlan150，并设置其vlan地址为10.66.0.1/16，10.150.0.1/24,由于录制部主机数较少，故将其设为C类子网。将port 10设置为T模式。主要配置命令如下：

[pre]3550(config)#interface fastEthernet 0/10 　　3550(config-if)#switchport trunk encapsulation dot1q 　　3550(config-if)#switchport mode trunk[/pre]

    MP3024交换机上的配置
   

[pre]5floormaipu(config)#port 0/1 　　5floormaipu(config-port-0/1)#strip-vlan-tag disable //为1端口封装vlan标签 　　5floormaipu(config)#vlan 66 　　5floormaipu(config-vlan66)#port 0/0-0/11,0/13-0/23 member 　　//让除12端口以外的其余端口属于vlan66 　　5floormaipu(config)#vlan 150 　　5floormaipu(config-vlan150)#port 0/1,0/12 member //让1、12端口属于vlan150 　　5floormaipu(config-port-range)#pvid 66 //设置端口的pvid 　　5floormaipu(config-port-0/12)#pvid 150[/pre]

    这样配置完成后，录制部主机设为vlan150的地址后即可正常上网。MP交换机的trunk口设置必须让trunk端口属于它所要通过的vlan，这一点与cisco设备仅封装802.1q就能通过所有vlan是不同的。

　　注：本例用一个trunk端口传送两个vlan，可以扩展到更多个vlan，命令相似，在此笔者不再赘述。

盗梦

mhchen2012