​跨部门网络搭建,核心在这30行里

news/2024/4/24 4:23:23/

大家好,我的网工朋友。

在企业网络中,想要实现跨部门的VLAN互联互通,其实有很多方式。

你可以通过子接口实现,也可以通过VLAN-Interface实现。但在实际工作中,很多网工朋友,遇到这种情况,很容易会回不过神来,一下子卡壳宕机。

今天我们不聊理论,就整点实际的,看完就能用到你的实战工作之中。

在部门里,你是否遇到过三个部门之间不能相互访问的需求?

如果有,今天这篇文章,就很适合你的阅读。

今日文章阅读福利:《图解网络系列(全套书籍) 》

想要入门网络的小友,这份图解系列全套都很适合你,配图丰富,理论和图片结合,很受小白追捧。

需要的朋友,可以私信我,发送暗号“图解”,即可获取此份全套书籍电子资源。

01 需求

某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。

内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。

三个部门的机器均使用动态IP上网,服务器使用静态IP上网。

ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。



02方案设计

1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。

2960作为二层交换机,划分VLAN。

03 网络拓扑图

04 交换机端口、VLAN划分

部门一 FE0/1-8: 绑定VLAN10

部门二 FE0/9-16:绑定VLAN20

部门三 FE0/17-24:绑定VLAN30

干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过

服务器 GE0/1: 绑定VLAN100

05 路由器端口、网段、IP划分

FE0/0:WAN接口、IP为1.1.1.1

FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址,

FE0/1.1:绑定VLAN10,IP为192.168.1.1/24

FE0/1.2:绑定VLAN20,IP为192.168.2.1/24

FE0/1.3:绑定VLAN30,IP为192.168.3.1/24

FE0/1.4:绑定VLAN100,IP为192.168.100.1/24

以下为完整设置命令,有详细注释,设备均已恢复出厂设置。

06 交换机配置

进入特权模式

Switch>enable

进入配置模式

Switch#configure terminal

设置部门一VLAN10

Switch(config)#interface range FastEthernet 0/1-8    %端口组FE0/1-8Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10Switch(config-if-range)#exit

设置部门二VLAN20

Switch(config)#interface range FastEthernet 0/9-16    %端口组FE0/9-16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20    %设置端口为access模式,绑定vlan20Switch(config-if-range)#exit

设置部门三VLAN30

Switch(config)#interface range FastEthernet 0/17-24    %端口组FE0/17-24
Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 30    %设置端口为access模式,绑定vlan30
Switch(config-if-range)#exit

设置服务器VLAN100

Switch(config)#interface range GigabitEthernet 0/2
Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 100    %设置端口为access模式,绑定vlan100Switch(config-if-range)#exit

设置汇聚口

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 10,20,30,100    %设置端口为trunk模式,允许 VLAN10 20 30 100通过Switch(config-if)#exit

设置生成树快速转发

Switch(config)#spanning-tree portfast default %珍惜宝贵的时间

退出&保存设置

Switch(config)#exit
Switch#write

07 路由器配置

进入特权模式

Router>enable

进入配置模式

Router#configure terminal

设置部门一VLAN10 ACL规则1,仅禁止访问其他两个网段

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255Router(config)#access-list 1 permit any

设置部门二VLAN20 ACL规则2,仅禁止访问其他两个网段

Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255Router(config)#access-list 2 permit any

设置部门三VLAN30 ACL规则3,仅禁止访问其他两个网段

Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255Router(config)#access-list 3 permit any

设置服务器VLAN100 ACL规则4,允许访问任何网络

Router(config)#access-list 4 permit any

设置NAT ACL规则5,仅允许四个内网网段进行NAT

Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255Router(config)#access-list 5 deny any

设置WAN接口

Router(config)#interface FastEthernet 0/0Router(config-if)#no shutdownRouter(config-if)#ip address 1.1.1.1 255.255.255.0Router(config-if)#ip nat outside    %设置为NAT外部接口Router(config-if)#exit

设置LAN接口

Router(config)#interface FastEthernet 0/1Router(config-if)#no shutdown    %物理接口只需开启即可,不用设置IP地址Router(config-if)#exit

设置部门一VLAN10子接口

Router(config)#interface FastEthernet 0/1.1
Router(config-subif)#encapsulation dot1Q 10    %用802.1Q封装数据帧,以便兼容交换机Router(config-subif)#ip address 192.168.1.1 255.255.255.0Router(config-subif)#ip access-group 1 in    %入口流量应用ACL规则1Router(config-subif)#ip access-group 1 out    %出口流量应用ACL规则1Router(config-subif)#ip nat inside %设置为NAT内部接口Router(config-subif)#exit

设置部门二VLAN20子接口

Router(config)#interface FastEthernet 0/1.2Router(config-subif)#encapsulation dot1Q 20    %用802.1Q封装数据帧,以便兼容交换机Router(config-subif)#ip address 192.168.2.1 255.255.255.0Router(config-subif)#ip access-group 2 in    %入口流量应用ACL规则2Router(config-subif)#ip access-group 2 out    %出口流量应用ACL规则2Router(config-subif)#ip nat insideRouter(config-subif)#exit

设置部门三VLAN30子接口

Router(config)#interface FastEthernet 0/1.3
Router(config-subif)#encapsulation dot1Q 30    %用802.1Q封装数据帧,以便兼容交换机Router(config-subif)#ip address 192.168.3.1 255.255.255.0Router(config-subif)#ip access-group 3 in    %入口流量应用ACL规则3Router(config-subif)#ip access-group 3 out    %出口流量应用ACL规则3Router(config-subif)#ip nat inside %设置为NAT内部接口Router(config-subif)#exit

设置服务器VLAN100子接口

Router(config)#interface FastEthernet 0/1.4
Router(config-subif)#encapsulation dot1Q 100    %用802.1Q封装数据帧,以便兼容交换机Router(config-subif)#ip address 192.168.100.1 255.255.255.0Router(config-subif)#ip access-group 4 in    %入口流量应用ACL规则4Router(config-subif)#ip access-group 4 out    %出口流量应用ACL规则4Router(config-subif)#ip nat inside %设置为NAT内部接口Router(config-subif)#exit

设置DHCP排除地址(这里只设置路由器本身IP)

Router(config)#ip dhcp excluded-address 192.168.1.1
Router(config)#ip dhcp excluded-address 192.168.2.1
Router(config)#ip dhcp excluded-address 192.168.3.1

设置VLAN10 DHCP服务器

Router(config)#ip dhcp pool vlan10Router(dhcp-config)#default-router 192.168.1.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.1.0 255.255.255.0Router(dhcp-config)#exit

设置VLAN20 DHCP服务器

Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#default-router 192.168.2.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.2.0 255.255.255.0Router(dhcp-config)#exit

设置VLAN30 DHCP服务器

Router(config)#ip dhcp pool vlan30Router(dhcp-config)#default-router 192.168.3.1Router(dhcp-config)#dns-server 192.168.100.254Router(dhcp-config)#network 192.168.3.0 255.255.255.0Router(dhcp-config)#exit

设置路由

Router(config)#ip routing %开启路由转发Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254    %设置默认网关

设置NAT

Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload  %允许四个网段进行NAT,出接口为WAN口,开启端口地址复用Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80    %将内部服务器的80端口映射到公网IP上Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上

退出&保存设置

Router(config)#exit
Router#write

整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部


http://www.ppmy.cn/news/348916.html

相关文章

2023年6月17号英语四六级考试倒计时,这些考前准备事项一定要注意

2023年6月全国大学英语四六级考试将于6月17日(本周六)举行,冰雪为大家总结了四六级考前及考中注意事项,供同学们参考! 考试时间 四级考试时间:6月17日上午9:00-11:20 六级考试时间:6月17日下午1…

【计算机网络基础】第1章 单元复习

文章目录 一. 单选题(共25题)二. 填空题(共2题)三. 判断题(共5题)一. 单选题(共25题) (单选题)涉及速度匹配和排序的网络协议要素是( D )。 A. 规则 B. 语义 C. 语法 D. 时序 (单选题)下列交换方法中,( C )的传输延迟最小。 A. 数据报分组交换 B. 报文交换 C. 电路…

MySQL IDE与pymysql模块

一、IDE工具介绍 生产环境还是推荐使用mysql命令行,但为了方便我们测试,可以使用IDE工具 在此我们推荐使用Navicat软件或pycharm来连接数据库,这样就能更详细直观地查询数据 掌握: #1. 测试链接数据库 #2. 新建库 #3. 新建表,新增…

防火墙的五个主要功能

防火墙的五个主要功能 1、网络安全的保障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。 如防…

Vue- ref属性

ref属性 被用来给元素或者子组件注册引用信息(id的替代者) 通过案例来演示_ref属性 1 编写案例 如图:有一个按钮,点击按钮可以输出dom元素 备注:虽然vue不用我们亲自操作dom,但是有的特殊的情况下就要…

qt样式表qss选择器

目录 1、通用选择器 2、类型选择器(类和子类) 3、类选择器 4、ID选择器 5、子孙后代控件选择器 6、子后代控件选择器 7、属性选择器 7.1 静态属性 7.2 动态属性 8、子控件选择 9、伪状态选择 在开始之前,先要区分3个概念&#xff1…

k8s 配置hadoop集群,nfs作为存储

目录 一、简介 二、nfs服务&nfs-provisioner配置 1、k8S服务器需安装nfs客户端 2、nfs服务端安装配置 3、使用nfs-provisioner动态创建PV (文件已修改) 三、hadoop配置文件 1、# cat hadoop.yaml 2、# cat hadoop-datanode.yaml 3、# cat …

谷山丰的一生

Yutaka Taniyama and his time第一部分谈及谷山丰的一生,我们首先要追溯到上个世纪六十年代中后期。值得注意的是,那时日本的情况与现在完全不同,更不能与现在甚至那时的美国和欧洲相比。“污染”还没有成为像现在这样家喻户晓的词汇&#xf…

数据库索引及优化

索引 1.索引简介 1.1 概念 MySQL官方对索引的定义为:索引(Index)是帮助MySQL高效获取数据的数据结构。索引的本质:索引是数据结构。 注:在数据之外,数据库系统还维护着满足特定查找算法的数据结构&…

精粤JGINYUE B760M-VDH i5-13600k电脑 Hackintosh 黑苹果efi引导文件

原文来源于黑果魏叔官网,转载需注明出处。(下载请直接百度黑果魏叔) 硬件配置 硬件型号驱动情况 主板JGINYUE B760M-VDH(LPC Controller/eSPI Controller B760芯片组) 处理器Intel(R) Core(TM) i5-13600k已驱动 内…

​“前端已死”甚嚣尘上,全栈工程师卷到起飞

海量应届生入场,坑位却还是那多。具备前后端开发能力的全栈工程师兴起,不仅能够开发前端,还能够处理后端业务逻辑和数据库等技术,还能掌握整个软件开发的细节。企业自然会更愿意招聘全栈工程师,说白了,卷啊…

CANN黑科技解密|昇腾Ascend C编程语言 — 极简易用的算子开发体验

AI应用的大脑是神经网络,而构成神经网络的基石是一个个算子。为了让开发者的网络在昇腾硬件上高效运行,昇腾异构计算架构CANN(Compute Architecture for Neural Networks)提供了丰富的高性能算子库,包括神经网络库、线…

Docker 生成 golang 程序镜像

一. 准备golang程序 package mainimport "github.com/gin-gonic/gin"func main() {go func() {r1 : gin.Default()r1.GET("/sayHello/", func(c *gin.Context) {c.JSON(200, "hello1")})r1.Run(":8992")}()r : gin.Default()r.GET(&q…

android adb 获取电池信息以及设置

本文主要包含 1、设置adb 无线调试桥连接步骤 2、打印设备电池状态(当前电量、充电状态、充放电电流大小、电池种类等) 3、更改电池充电状态、电量百分比、电池还原命令 4、断开adb 远程调试桥 -----------------------------------------------------------------…

南卡全新骨传导耳机Runner Pro4震撼上市!新一代顶级“机皇”来了!

骨传导耳机是直接通过颅骨振动传递声音,无需入耳,可以很好保护耳朵听力。运动的时候享受音乐的同时,还能接收到周围环境音,避免发生事故,安全指数大大提升。骨传导耳机也逐渐成为当代年轻人在运动场景中的新数码好物。…

电子蜡烛灯单片机开发方案

LED蜡烛灯可以像真正的蜡烛一样发出舒适的闪烁光,具有仿真蜡烛效果,适合在一些聚会或庆祝活动中使用。宇凡微推出的低成本LED蜡烛灯IC方案,根据不同电子蜡烛灯方案,主控芯片推荐使用YF单片机。 LED蜡烛灯是有孩子的家庭很好蜡烛替…

DVWA-XSS (Reflected)

大约 “跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。 当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给…

忘记了PDF密码?快速找回密码的实用方法!

一步搞定!遇到PDF密码怎么办?百度搜索“密码帝官网”,点击“立即开始”,在用户中心上传文件即可。最简单的方法,不用下载软件,手机电脑都可以用。不仅支持PDF文档,还有Excel表格、Word文档、WPS…

数据库故障的发现与处理

第一,如何发现数据库故障? 1、连接问题,如果应用程序无法连接到数据库,或者连接被拒绝,可能表示存在数据库故障。 2、数据库错误日志:检查数据库的错误日志,如MySQL的错误日志、Oracle的跟踪文…

android 模拟器闪退

抱着试一试的心态,乱改模拟器的设置,竟然成功地解决了模拟器闪退问题 第一步,点击AVD Manager 第二步 点击编辑 第三步点击设置 下滑选择cold boot