典型应⽤,企业⽹络vlan规划⽅案!
项⽬背景:
某企业集团在A市建⽴了总公司,因业务需要在B市建⽴分公司。需要实现A和B之间的通信,以及实现总公司和分公司的内部⽹络的正常通信!
A 总部:500台    总部有100台需要接⼊互联⽹
B分公司:50台    分公司有10需要接⼊互联⽹!
⽹络的规划:  外⽹IP为(路由串⼝IP地址)  A公司:10.0.1.10  B公司:10.0.1.20
总公司:办公室460台(其中100台需要使⽤Internet,他们分布在各个部门)⽆线⽹络20台。服务器区:20台!
分公司:办公室44台 (其中5台需要使⽤Internet,他们分布在各个部门),服务器1台
如何划分vlan以及IP地址的划分:
1.总公司有4个部门:
a(50台 都需要连接Internet)
b(100台  其中20台需要连接Internet)
c (120台 其中30台需要连接Internet)
d (190台  禁⽌访问Internet)
需求:那么该如何划分vlan ,⽽且主机的地址需要dhcp⾃动分配获取。其中a b 两个部门可以上⽹,但c d不可以。并且各部门都可以访问公司的FTP服务器下载资料、能够使⽤域名来访问公司的⽹页。⽽且各部门之间不可以共享,不可以互相访问。
2.同样的分公司例如有3个部门: 
aa (15台 2台需要接⼊Internet)
bb (16台  1台需要接⼊Internet)
cc (13台  2台需要接⼊Internet)
我在北京等你演员表需要划分vlan,DHCP⾃动获取地址,可以使⽤FTP上传下载资料,可以访问公司⽹页!各部门之间
不可以互相访问。
注:这是前段时间参加CIW⽹络技术⼤赛时的实操部分的题⽬其中的⽹络规划部分( 只是其中的关于如何规划⽹络的部分)!需要在路由和交换机上具体做哪些动作!还望各位⼤侠不惜指教,⼗分感谢!拓扑图我简单的画了出来,其中⽤了⼀个云来代表ISP!
主要是实现⼀部分可以上⽹,⼀部分⼈不能上⽹。各个vlan间不能互相通信,⽽且每个部门都能访问公司内部的FTP,www服务。总公司
和分公司都是⼀样! 如果哪些地⽅写的不明⽩的希望指出了。
这是⼩弟之前,提出的⼀个问题,现在有了⼀个很好的答案,所有在此把两位午饭朋友的回答写到这⾥,并感谢各位午饭的热⼼帮助!:loveliness:
来⾃28楼syyzw1985:
说⼀下⼤概的思路吧,以前也配过相应的拓扑:
1.路由器上做nat、vpn(site-to-site),当然在nat的时候先deny⾛vpn的路由;
2.三层交换机,也就是核⼼交换机,划分vlan,和路由互联的时候可以⾛静态路由协议,把vlan宣告到路由器上;
3.⼦⽹划分,针对各个部门不同机器的台数,并划分相应的⼦⽹掩码,例如50台的机器,可以考虑⽤26位掩码;如果⼩于255太机器,都可以⽤192.168.*.*⽹段,只是要考虑⼦⽹掩码的长度⽽已;
4.⾄于能不能互访就是acl来定义了;
5.有关服务器,能⽤域名来访问www服务,也就是dns的问题,在你的dns服务器上,有个正向解析和反向解析,把www的ip地址填到相应的位置就⾏了;
6.⾄于dhcp,直接在三层交换机上启动就⾏了,注意dns server配置⼀定要正确,这样才能上⽹;
7.个⼈觉得,不要在乎配置什么的,因为那真的很简单,⽹上⼀搜⼀堆,关键是看你配置的思路,在什么地⽅适合配什么,⽤什么协议等,这样进步很快;
来⾃27楼onlyshenmin的回复:
孟子的名言交换机的配置:
新增vlan10-vlan50.分别对应4个部分和服务器区
SW1(config)#vlan 10 #设置vlan10
SW1(config-vlan)#name a #取名为a
SW1(config)#vlan 20
SW1(config-vlan)#name b
SW1(config)#vlan 30
SW1(config-vlan)#name c
SW1(config)#vlan 40
SW1(config-vlan)#name d
SW1(config)#vlan 50
SW1(config-vlan)#name server
连接路由器的端⼝设为trunk
SW1(config)#int f0/1
SW1(config-if)#switchport mode trunk
连接电脑的端⼝加⼊vlan30 按照实际情况加
SW1(config)#int f0/13
SW1(config-if)#switchport access vlan 30
路由器的配置:
R1(config)#interface FastEthernet0/0  #设置外⽹接⼝地址
R1(config-if)#ip address 10.0.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface FastEthernet0/1
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.1  #设置⼦接⼝f0/1.1
R1(config-if)encapsulation dot1Q 10  #对应vlan10
R1(config-if)ip address 192.168.1.1 255.255.255.0 #设置地址
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.2
R1(config-if)encapsulation dot1Q 20
R1(config-if)ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.3
R1(config-if)encapsulation dot1Q 30
R1(config-if)ip address 192.168.3.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/1.4
R1(config-if)encapsulation dot1Q 40
R1(config-if)ip address 192.168.4.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)interface FastEthernet0/5.1
R1(config-if)encapsulation dot1Q 50
R1(config-if)ip address 192.168.5.1 255.255.255.0
R1(config-if)#no shutdown
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0  #默认路由
建⽴dhcp服务器
R1(config)# ip dhcp pool a    #部门a地址池a
R1(dhcp-config)#network 192.168.1.0 255.255.255.0 #⽹段
R1(dhcp-config)#default-router 192.168.1.1  #客户端⽹关
R1(config)# ip dhcp pool b    #部门b地址池b
R1(dhcp-config)#network 192.168.2.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.2.1
R1(config)# ip dhcp pool c    #部门c地址池
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.3.1
R1(config)# ip dhcp pool d    #部门d地址池
R1(dhcp-config)#network 192.168.4.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.4.1
R1(config)# ip dhcp pool e    #服务器地址池可不设
R1(dhcp-config)#network 192.168.5.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.5.1
R1(config)# service dhcp    #启⽤dhcp服务
R1(config)ip access-list extended v10  #扩展访问控制列表v10
R1(config-ext-nacl)#deny ip any 192.168.2.0 0.0.0.255 #拒绝到vlan20的流量
R1(config-ext-nacl)#deny ip any 192.168.3.0 0.0.0.255 #拒绝到vlan30的流量
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255 #拒绝到vlan40的流量
R1(config-ext-nacl)#permit ip any any  #允许除上⾯拒绝之外的所有流量
R1(config)ip access-list extended v20  #扩展访问控制列表v20
R1(config-ext-nacl)#deny ip any 192.168.1.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.3.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 #允许vlan40到vlan50的流量
农行网上银行转账R1(config-ext-nacl)#permit ip host 192.168.2.101 any #允许主机192.168.1.101发出的任何流量(除上⾯⼏条已经拒绝的之外)。这就是允许上⽹的部分主机的ip地址
R1(config-ext-nacl)#permit ip host 192.168.2.102 any
R1(config-ext-nacl)#permit ip host 192.168.2.120 any
R1(config-ext-nacl)#deny ip any any  #拒绝任何流量(除上⾯⼏条允许的流量之外)
R1(config)ip access-list extended v30  #扩展访问控制列表v30
R1(config-ext-nacl)#deny ip any 192.168.1.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.2.0 0.0.0.255
R1(config-ext-nacl)#deny ip any 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config-ext-nacl)#permit ip host 192.168.3.101 any
R1(config-ext-nacl)#permit ip host 192.168.3.102 any
R1(config-ext-nacl)#permit ip host 192.168.3.130 any
R1(config-ext-nacl)#deny ip any any
R1(config)ip access-list extended v40  #扩展访问控制列表v40
R1(config-ext-nacl)#permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
R1(config-ext-nacl)#deny ip any any
应⽤访问控制列表
R1(config)interface FastEthernet0/1.1
R1(config-if)ip access-group v10 in  #在⼦接⼝f0/1.1的in⽅向上应⽤访问控制列表 v10
R1(config)interface FastEthernet0/1.2
R1(config-if)ip access-group v20 in
R1(config)interface FastEthernet0/1.3
R1(config-if)ip access-group v30 in
R1(config)interface FastEthernet0/1.4
R1(config-if)ip access-group v40 in
启⽤NAT上⽹
使⽤访问控制列表确定需要nat转换的⽹段
R1(config)ip access-list standard lan
R1(config-ext-nacl)#permit 192.168.0.0 0.0.255.255
林过云#我这是为了简单,所以⽤了扩⼤范围的⼦⽹
使⽤接⼝NAT即PAT
软件工程师要学哪些
R1(config)#ip nat inside source list lan interface FastEthernet0/0 overload
#通过f0/0接⼝(也可⽤ip或者ip地址池,⾃⼰研究吧)进⾏nat转换,转换⽹络为访问控制列表lan⾥所包含的⼦⽹
R1(config)interface FastEthernet0/1.1  #在接⼝f0/1.1上启⽤nat,并说明为inside内部接⼝
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.2  #在接⼝f0/1.2上启⽤nat,并说明为inside内部接⼝
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.3  #在接⼝f0/1.3上启⽤nat,并说明为inside内部接⼝
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.4  #在接⼝f0/1.4上启⽤nat,并说明为inside内部接⼝
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/1.5  #服务器不上⽹可不启⽤
R1(config-if)ip nat inside
R1(config)interface FastEthernet0/0  #在接⼝f0/0上启⽤nat,并说明为outside外部接⼝
dnf弹药武器R1(config-if)#ip nat outside
配置服务器映射到internet,可通过公⽹ip进⾏访问
R1(config)ip nat inside source static 192.168.5.101 10.0.1.101    #将内外192.168.5.101映射到公⽹ip 10.0.1.101
R1(config)ip nat inside source static 192.168.5.102 10.0.1.102
如果采⽤站点间vpn,命令太繁琐,使⽤cisco的sdm图形管理⼯具进⾏设置。并且需要修改上⾯的访问控制列表,加⼊允许对对⽅站点内⽹⽹段进⾏访问的策略。