ENSP中小企业网示例[三]:VLAN配置及DHCP服务
一、本篇简介
注意:这是一个系列性的教程,当前章节的配置可能需要依赖之前章节的相关配置而生效;如果读者仅查看本章节内容,相关配置命令仅供参考;
本篇的操作设备对象包括:核心交换机[LSW];
目标为在命令行配置界面下对核心交换机[LSW]进行VLAN划分并为相应的VLAN配置DHCP服务;现实中,企业内部网络划分VLAN,不但有效抑制广播风暴等危害以保证网络性能,还能通过后续配置,实现不同VLAN间的访问控制,保证了设备与数据的安全性。另一方面,很多企业都喜欢启用DHCP功能以方便IP地址的分配,同时又希望保留一些特定的IP地址用于特殊用途,本示例也将按照以上设定进行DHCP服务配置,另外附带排除分配指定的IP地址,用于特殊用途。最后补充说明一下,DHCP服务还有一些其它用途的配置,例如本示例中的IP地址租期;关于IP地址的租期,系统中附带默认值为1天,对于配置为默认值的配置命令,将不会在配置文件中有所记录,本示例中出现该条看似多余的命令,目的是用于告诉读者关于IP地址租期的配置方法。
二、实现方法
目标设备:核心交换机-LSW[S5700]
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 |
[启用交换机的DHCP服务并创建对应VLAN] <LSW>system-view # 从用户视图进入系统视图; [LSW]dhcp enable # 启用DHCP功能; # 注意:必须先启用,否则后续的某些命令将提示DHCP未启用[配置失败]; [LSW]vlan batch 10 20 30 # 本处创建的VLAN将对应本示例的设定需求; # 创建"10、20、30"VLAN; # VLAN"10"对应行政部[AD]; # VLAN"20"对应技术部[TD]; # VLAN"30"对应研发部[RD]; [LSW]vlan 10 # 进入VLAN视图; [LSW-vlan10]description Company_AD # 设定本VLAN的描述性信息[可选操作]; [LSW-vlan10]quit [LSW]vlan 20 [LSW-vlan20]description Company_TD [LSW-vlan20]quit [LSW]vlan 30 [LSW-vlan30]description Company_RD [LSW-vlan30]quit [VLAN 10 配置] [LSW]port-group group-member GigabitEthernet 0/0/9 to GigabitEthernet 0/0/12 # 指定临时端口组成员,并进入临时成员组; # 目的:后续命令对指定成员端口进行批量配置; # 本处成员为:"GigabitEthernet 0/0/9"至"GigabitEthernet 0/0/12"; # 注:可理解为本处的"port-group group-member"中的"group-member"即为设备内置设定的临时组的变量; [LSW-port-group]port link-type access # 配置临时端口组内所有物理端口的模式,本外模式为"access"; # 本处的"port"命令同接口视图下的"port"命令[这就是为什么能批量配置的原因]; [LSW-port-group]port default vlan 10 # 定义临时端口组内所有成员的所属VLAN,本处为"VLAN 10"; [LSW-port-group]quit # 退出临时端口组视图; [LSW]interface Vlanif 10 # 进入VLAN"10"的虚拟接口配置视图; [LSW-Vlanif10]ip address 172.16.10.1 23 # 为VLAN"10"虚拟接口配置管理地址[同时也是该VLAN的网关]; [LSW-Vlanif10]dhcp select global # 指定本VLAN下DHCP服务的策略模式为"global"; [LSW-Vlanif10]quit # 退出VLAN"10"的虚拟接口配置视图; [LSW]ip pool vlan_10 # 创建名为"vlan_10"的DHCP地址池;注意:此处的名称实际上与VLAN"10"并没直接关系; # "vlan_10"只是描述本地址池的一个名称,实际将作用于那一个VLAN,与内部的配置有关[网关配置、网段]; [LSW-ip-pool-vlan_10]network 172.16.10.0 mask 23 # 配置"vlan_10"的地址池的网段; # 对应"Vlanif 10"设定的IP网段; [LSW-ip-pool-vlan_10]gateway-list 172.16.10.1 # 配置"vlan_10"的地址池的网关; # 对应"Vlanif 10"设定的IP地址; [LSW-ip-pool-vlan_10]dns-list 8.8.8.8 8.8.4.4 # 配置"vlan_10"的DNS; [LSW-ip-pool-vlan_10]excluded-ip-address 172.16.10.2 172.16.10.19 [LSW-ip-pool-vlan_10]excluded-ip-address 172.16.11.200 172.16.11.254 # 禁止分配指定地址[保留地址用于特殊用途]; # 禁止分配"172.16.10.2 - 172.16.10.19"之间的地址; # 禁止分配"172.16.11.200 - 172.16.11.254"之间的地址; # 也可仅对单个IP实现禁止分配; [LSW -ip-pool-vlan_10]lease day 1 # IP地址租期设定[支持日、时、分],本处限制为1天; [LSW -ip-pool-vlan_10]quit [VLAN 20 配置] [LSW]port-group group-member GigabitEthernet 0/0/13 to GigabitEthernet 0/0/16 [LSW-port-group]port link-type access [LSW-port-group]port default vlan 20 [LSW-port-group]quit [LSW]interface Vlanif 20 [LSW-Vlanif20]ip address 172.16.20.1 23 [LSW-Vlanif20]dhcp select global [LSW-Vlanif20]quit [LSW]ip pool vlan_20 [LSW-ip-pool-vlan_20]network 172.16.20.0 mask 23 [LSW-ip-pool-vlan_20]gateway-list 172.16.20.1 [LSW-ip-pool-vlan_20]dns-list 8.8.8.8 8.8.4.4 [LSW-ip-pool-vlan_20]excluded-ip-address 172.16.20.2 172.16.20.19 [LSW-ip-pool-vlan_20]excluded-ip-address 172.16.21.200 172.16.21.254 [LSW-ip-pool-vlan_20]lease day 1 [LSW-ip-pool-vlan_20]quit [VLAN 30 配置] [LSW]port-group group-member GigabitEthernet 0/0/17 to GigabitEthernet 0/0/20 [LSW-port-group]port link-type access [LSW-port-group]port default vlan 30 [LSW-port-group]quit [LSW]interface Vlanif 30 [LSW-Vlanif30]ip address 172.16.30.1 23 [LSW-Vlanif30]dhcp select global [LSW-Vlanif30]quit [LSW]ip pool vlan_30 [LSW-ip-pool-vlan_30]network 172.16.30.0 mask 23 [LSW-ip-pool-vlan_30]gateway-list 172.16.30.1 [LSW-ip-pool-vlan_30]dns-list 8.8.8.8 8.8.4.4 [LSW-ip-pool-vlan_30]excluded-ip-address 172.16.30.2 172.16.30.19 [LSW-ip-pool-vlan_30]excluded-ip-address 172.16.31.200 172.16.31.254 [LSW-ip-pool-vlan_30]lease day 1 [LSW-ip-pool-vlan_30]return # 返回用户视图; <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
三、效果验证
使用网线将PC连接至LSW上相对应的VLAN的物理端口,将会获得由对应DHCP服务分配出的IP地址、网关及DNS,并且能PING通对应网关;关于相关信息的查询,可以在PC命令行界面下输入"ipconfig"命令获取。另外,不同VLAN的PC,其之间也能互相PING通,这是由于还未配置VLAN间的访问策略,这将在后续的章节中补充。
另外,有兴趣的读者可以尝试使用LSW的DHCP服务分配的IP去PING路由器上的网关"192.168.5.1",将会发现无法PING通["Eth-trunk"链路将不会发现相关数据包],这是由于路由策略的缺失引起的。在同上的端口下,手动配置PC的IP地址为"192.168.5.X",网关"192.168.5.1",PC的命令行界面将会发现依然无法PING通,但在"Eth-trunk"链路却发现了相关完整的数据包[包括正确的应答],原因很简单,由于在AR上返回的数据包缺失TAG标记,自然无法通过ACCESS的端口,对应的PC命令行上当然会出现PING不通的提示信息。另外,在LSW的VLAN 1的端口下,手动配置PC的IP地址为"192.168.5.X",网关"192.168.5.1",这情况是可以PING通的。关于以上三种情况下的PING,读者应该清楚其PING通与PING不通的原因,如果以上三个情况的PING读者并不理解,建议复习一下"ACCESS/TRUNK/HYBIRD"的原理。
注意:以上操作,由于"Eth-trunk"是双物理线路,PING操作的ICMP数据名将随机走其中一条件物理线路,建议在进行抓包操作时,断开其中任意一条物理线路。
结、
关于VLAN间的互通,实际上配置操作非常简单,关键在于VLAN对应的虚拟接口[Vlanif]的配置,即如果仅希望实现VLAN间的互访,仅需要为对应VLAN的虚拟接口[Vlanif]配置上对应的IP地址["[LSW-Vlanif??]ip address xxx.xxx.xxx.xxx x"],并以此地址作为网关即可。本篇完,读者可点击以下链接进入下一章或返回上一章;
ENSP中小企业网示例[三]:VLAN配置及DHCP服务:等您坐沙发呢!