博文
华为路由器交换机VLAN配置实例 (2006-11-09 01:29:00)
摘要:使用4台PC(pc多和少,原理是一样的,所以这里我只用了4台pc),华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。 方案说明:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.25
5.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.......
动态VLAN详细配置实例(2006-11-09 01:29:00)
摘要:vmps server配置
To use VMPS, you first must create a VMPS database and store it on a TFTP server. The VMPS parser is line based. Start each entry in the file on a new line. The example at the end of this section corresponds to the information described below.The VMPS database can have up to five sections:Section 1, Global settings, lists the settings for the VMPS domain name, security mode, fallback VLAN, and the policy for VMPS and VTP domain name mismatches.Begin the configuration file with the word "VMPS," to prevent other types of configuration files from incorrectly being read by the VMPS server. Define the VMPS domain. The VMPS domain should correspond to the VTP domain name configured on the switch. Define the security mode. VMPS can operate in open or secure mode. If you set it to open mode, VMPS returns an access denied response for an unauthorized MAC address and returns the fallback VLAN for a MAC address not listed in the VMPS database. In secure mode, VMPS shuts down the po......
华为3COM交换机PVLAN配置使用说明 (2006-11-09 01:28:00)
摘要:1. PVLAN的引入
在实际应用中有这样一个需求,组网图如上图所示。 3026下面级联了2016,要求2016下的各个端口互相隔离,即给每个端口划分一个VLAN,与此同时,由于上层设备(3026)的VLAN数有限,不允许下层设备(2016)将VLAN透传上来,即2016的上行端口要设为access方式。但是在2016上一个access端口是不能属于多个 VLAN的,我们如何才能让带有不同VLAN ID的数据报文发送到同一个access 端口呢? 这时候,我们就需要使用2016的PVLAN功能。通过使用PVLAN功能,我们就能够实现将2016下的各个端口划在不同的VLAN内,同时又都能通过上行的Access 端口发送出去。 目前,华为3Com公司开发的2008/2016/3026都支持PVLAN功能。 2. PVLAN配置步骤 配置PVLAN的步骤如下: 1、创建VLAN, 命令如下: [2016]vlan vlan-id 2、设置VLAN类型为primary。 命令如下: [2016-vlan100] isolate-user-vlan enable 3、向VLAN中添加端口(无论是primary vlan还是secondary vlan都一样) 命令如下: [2016-vlan100]port ethernet port-list 4、设置primary vlan和secondary vlan之间的映射关系 命令如下: [2016]isolate-user-vlan primary_vlan_num secondary secondary_vlan_list 3. PVLAN配置举例 1、组网需求 Quidway S3526以太网交换机通过端口Ethernet 0/7和端口Ethernet 0/8下接两台Quidway S2008以太网交换机。S2008 A上VLAN5为primary VLAN,包含上行端口Ethernet 0/9和两个secondary VLAN:VLAN1和VLAN2,VLAN1包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;S2008 B上VLAN6为primary VLAN......
以太网络建立多个VLAN实例(2006-11-09 01:28:00)
摘要:所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing……
需要做的工作:
1、设置vtp domain(核心、分支交换机上都设置) 2、配置中继(核心、分支交换机上都设置) 3、创建vlan(在server上设置) 4、将交换机端口划入vlan 5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。
交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。
com#vlan database 进入vlan配置模式 com(vlan)#vtp domain com 设置vtp管理域名称 com com(vlan)#vtp server 设置交换机为服务器模式
par1#vlan database 进入vlan配置模式 ar1(vlan)#vtp domain com 设置vtp管理域名称com ar1(vlan)#vtp client 设置交换机为客户端模式
par2#vlan database 进入vlan配置模式 ar2(vlan)#vtp domain com 设置vtp管理域名称com ar2(vlan)#vtp client 设置交换机为客户端模式
par3#vlan database 进入vlan配置模式 ar3(vlan)#vtp domain com 设置vtp管理域名称com ar3(vlan)#vtp client 设置交换机为客户端模式
注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可......
经典配置Catalyst6509交换机配置方案(2006-11-09 01:27:00)
摘要:一、 Catalyst 6509交换机配置方案1.1、配置6509二层交换Console> (enable) set system name bg-sw-01 /设备名称Bg-sw-01> (enable) set password Enter old password: Enter new password: test /设备口令Retype new password: testBg-sw-01> (enable) set enablepass Enter old password: Enter new password: test /设备口令Retype new password: test Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office % /提示文本Bg-sw-01> (enable) set interface sc0 10.234.180.21 255.255.255.0 /设置管理接口 #sh intBg-sw-01> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip routeBg-sw-01> (enable) set vtp mode server /设置VTP模式 #sh vtp domainBg-sw-01> (enable) set vtp domain Core_Net /设置VTP域名Bg-sw-01> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlanBg-sw-01> (enable) set vlan 32 name YiYangBg-sw-01> (enable) set vlan 33 name JianXiuBg-sw-01> (enable) set vlan 34 name RaoDianBg-sw-01> (enable) set vlan 35 name JinSanLouBg-sw-01> (enable) set vlan 36 ......
VLAN与隧道技术实现“校校通”(2006-11-09 01:26:00)
摘要:全球经济信息化的迅猛发展带动了用户对网络的需求,现在Internet已经成为很多人生活的重要组成部分,基于网络的管理、远程教学、远程办公、视频会议、VoD点播、WWW浏览等多媒体应用需求日益增加,年轻人逐渐成为网络经济的主要消费者,而中学生对学习网络、运用网络的渴望正成为各级学校在新世纪面临的问题。 “校校通”作为一个商业客户项目,如同“鸡肋”,利润很薄。本文根据实际实施案例,探讨和总结了几种技术手段,力求帮助学校通过一种最节省投资的方式实现“校校通”,既满足学校要求,又不增加过多投资。 “校校通”项目简介 现在,各地教委、教育局多推出“校校通”计划。“校校通”实际上是把城市内学校互联起来,共享网络资源,学生们可以学习计算机与网络知识,掌握编程、收发邮件、电算化、电子办公等信息化手段,通过网络进行学习与游戏。“校校通”计划的实施,可以使学校有组织地安排学生在学校里上网,避免学生流入社会网吧,处于无人监管状态。 对于“校校通”项目,教育局要求城市内学校之间互联,各学校有Internet出口或统一从教育局信息中心出口。 城域网结构与“校校通”接入 新一代的运营商通过“IP+光纤”的方式构成城域网,网络拓扑结构如图1所示。 学校可以采用就近接入原则,接入运营商城域网的物理点,包括汇聚机房、社区机房、楼道等。学校用户在接入时,传输线路上可采用光缆、双绞线,技术上可以综合考虑成本、距离、管槽线路等各种因素,选择以太网技术。 运营商城域网从网络分层角度可以分为核心层、汇聚层、接入层,图2所示是各学校接入城域网及VPN业务框架图。 互联技术方案分析 通过物理线路接入运营商城域网机房只是完成“校校通”项目的第一步。为了实现城市内学校之间的互联,城域网可以采用多种技术: 应用城域网光纤分芯技术; 学校端增加VPN设备; 在汇聚端增加VPN设备; VLAN与隧道技术。 利用城域网光纤分芯技术实现“校校通”,是将接入城域网机房的每一个学校,直接利用2对城域主干光纤,经过几次跳纤,汇接到教育局信息中心机房。这种技术方式适合用于在一个城市内学校数目少,而且城域主干光纤足够富余的环境中。这种方式可以节省网络设备投资,但是过多使用城域主干光纤资源不利于运营商将来发展更有价值的商业用户。 VPN技术在网络层增加专用VPN网络......
使用802.1x进行自动VLAN分配(2006-11-09 01:26:00)
摘要:设备环境:Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI),Cisco Secure ACS v3.1 1、和802.1x相关的交换机主要配置内容: aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius !---如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN分配或per-user ACL,则必须做network authorization dot1x system-auth-control !---注意在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x interface FastEthernet0/1 description To Server_Farm switchport mode access dot1x port-control auto dot1x max-req 3 spanning-tree portfast !---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我并没有给它赋VLAN radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string radius-server vsa send authentication !---radius-server host 1.2.3.4句定义radius server信息,并给出验证字串 !---因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。 配置802.1x动态分配VLAN所用到的VSA值规定如下: [64] Tunnel-Type = VLAN [65] Tunnel-Medium-Type = 802 [81] Tunnel-Private-Group-ID = VLAN name......
CISCO交换机VLAN配置思路(2006-11-09 01:25:00)
摘要:1.建在交换机上创建vlan立一个vtp管理域为了在交换机上创建vlan,必须首先建立一个vtp管理域以使它能够核验网络上当前的vlanCatalyst 4000 系列交换机模块只支持802.1q。判断硬件是否支持干道,及硬件所支持的干道封装使用:show portcapabilities
首先运行clear config allvtp command:
在基于IOS的交换机上配置VTP管理域或加入一个管理域:switch# vlan databasewitch(vlan)# vtp domain domain-name
在基于CLI的交换机上配置VTP管理域:switch(enable) set vtp [domain domain-name] passwd password在基于IOS的交换机上配置VTP 模式:witch# vlan databasewitch(vlan)# vtp domain domain-namewitch(vlan)# vtp {sever|cilent|transparent}witch(vlan)# vtp password password
在基于CLI的交换机上配置VTP 模式:switch(enable) set vtp [domain domain-name] [mode{sever|cilent|transparent }][password password]
核验vtp的配置:how vtp domainhow vtp statistics
在基于IOS的交换机上配置VTP版本:
VTP版本1是缺省配置witch# vlan databasewitch(vlan)# vtp v2-mode
在基于CLI的交换机上配置VTP版本:
witch(enable) set vtp v2 enable在基于IOS的交换机上启动VTP剪裁:witch# vlan databasewitch(vlan)# vtp pruning在基于CLI 的交换机上启动VTP剪裁:
witch(enable) set vtp pruning enable(set vtp pruneeligible vlan-range)
不起用vtp修剪:clear vtp pruneeligible vlan-range
核验vtp修剪......
VLAN的无线接入(2006-11-09 01:24:00)
摘要:随着越来越多的公司推出其无线网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。
为解决这一问题,人们开始采用先进的无线验证技术,并利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。
我们可以假设一个情景。一位财务部的无线用户可能要安全地连接至财务VLAN,使用的是一种安全链接加密方法,如Wi-Fi受保护访问。然而,当该VLAN中的用户漫游至其他接入点时,他们可能会无法再访问财务VLAN,因而也就无法获取需要的网络资源。如果要对网络进行重新配置,并使用户在整个公司里的每个接入点都能访问VLAN的话,整个重新配置的过程将变得非常繁杂,当然也不可能成为有竞争力的解决方案。
然而,802.1x基于端口的验证方法则可以提供一个有效的框架,为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议(EAP)来中继局域网基站(请求者)、以太网交换机或无线接入点(验证者)与RADIUS服务器(验证服务器)之间的端口访问请求。
用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法,而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力,因为它可以提供合理的工作组流量分割,并且更容易与有线网络上配置的安全和流量工程策略集成在一起。
网络管理员通常都希望为所有用户保留原有的扩展服务集ID(ESSID)和加密档案。这样,当用户进入无线局域网时,系统可根据验证服务器上已经配置好的属性,将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN,这种方法基本上是不可能实现的,除非对无线局域网的许许多多配置逐个调整,为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。
无线局域网交换机......
架设基于IP地址的VLAN (2006-11-09 01:24:00)
摘要:一、规划VLAN 将含有8台计算机的局域网划分为两个虚拟局域网:VLAN1和VLAN2,其中的PC1和PC2同时属于VLAN1和VLAN2。
为标识网络中的不同计算机,需要为每台计算机分配一个唯一的IP地址。IP地址是由两部分组成的:网络号与主机号。如果两台计算机的网络号相同,那么这两台计算机就在同一个网段内,也就是说,位于同一网段内的计算机并非必须在同一个物理网络内,这样,我们可以根据IP地址来划分虚拟子网(即VLAN)。 处于同一个网段内的计算机之间可以直接通信,而处于不同网段的计算机之间的通信则必须经过路由器才能通信。一个VLAN在同一个广播域,VLAN之间的通信是通过第3层的路由器来完成的,实现路由功能的可以是路由器、三层交换机等硬件设备,也可以通过将一台计算机安装上路由协议软件来实现。
二、配置VLAN
1.VLAN1中各台计算机的IP地址设置 根据各计算机的IP地址与子网掩码可知,VLAN1网段的网络号为192.168.0.0。每台计算机的IP地址与子网掩码的设置方法为: ⑴右击“网上邻居”,在弹出的快捷菜单中单击“属性”打开“网络和拔号连接”对话框; ⑵在“本地连接”上右击,在弹出的快捷菜单中单击“属性”打开“本地连接属性”对话框; ⑶选择“Internet协议(TCP/IP)”,单击“属性”按钮,打开“Internet协议(TCP/IP)属性”对话框,并输入相应的IP地址与子网掩码(图2中是PC1的具体设置)。 用同样的方法设置其他计算机的IP地址与子网掩码。 2.VLAN2中各台计算机的IP地址设置根据各计算机的IP地址与子网掩码可知,VLAN2网段的网络号为10.212.1.0。具体的设置方法同上。
需要说明的是,PC1和PC2均有两个不同的IP地址,这使得PC1和PC2可以同时与VLAN1和VLAN2中的其他计算机直接通信。这两个不同的IP地址的设置,可以通过两种方法来实现:一是PC1和PC2这两台计算机中均有两块网卡,一块网卡设置一个IP地址;二是PC1和PC2这两台计算机中均只有一块网卡,但可以在一块网卡上设置多个IP地址。第一种方法中IP地址的设置同上,第二种方法中IP地址的设置方法为: ⑴单击“高级”按钮,得到如图3所示的“高级TCP/IP设置”对话框。 ......