Topología![3. Construcción de la arquitectura de red de la pequeña y mediana empresa Huawei H3C [las interfaces se asignan a la VLAN correspondiente, incluida la definición del tipo de interfaz de cada dispositivo]](https://s4.51cto.com/images/blog/202102/28/fc3a995f48ecdc8f26d7ba2023280c05.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
La topología se puede guardar localmente y luego ampliar para verla, de modo que se pueda ver con mayor claridad.
Configuración de VLAN y división de interfaz, configurar troncal con interfaz de enlace ascendente, solo permitir el paso de VLAN específica.
Explicación: Tome la sala de visitantes, el personal de alto nivel y las finanzas como ejemplos. El departamento de producción y el departamento comercial no se explicarán aquí. La configuración El método es el mismo que los tres anteriores Exactamente el mismo.
3.1 La VLAN que debe configurar la sala de visitantes
es la VLAN 19. Además, la sala de visitantes también tiene AP inalámbrico y tráfico de administración de VLAN 1 que debe pasar, por lo que la VLAN permitida es 1, 19
system-view
[FKT] vlan 19
Descripción: Aquí, una VLAN se define como 19, porque la VLAN 1 predeterminada ya existe y 19 es el tráfico a través de la sala de visitantes.
PC 接入 接口
[FKT] puerto-grupo 1
[FKT-puerto-grupo-1] miembro de grupo Ethernet 0/0/2 a Ethernet 0/0/22
[FKT-puerto-grupo-1] puerto acceso tipo enlace
[FKT-port-group-1] puerto predeterminado vlan 19
Nota: La función del grupo de puertos es agregar múltiples interfaces a un grupo y luego configurar las políticas de manera centralizada, lo que puede simplificar la configuración. Aquí, se configura para definir las interfaces E0 / 0 / 2-22 como interfaces de acceso y agregarlas a En la VLAN 19, el valor predeterminado es el puerto híbrido
Conéctese a la interfaz de
interfaz AP inalámbrica e0 / 0/1
puerto híbrido etiquetado vlan 19
Nota: La interfaz conectada al AP inalámbrico debe permitir el paso de 2 VLAN, una es la VLAN 1 y la otra es la VLAN 19. De forma predeterminada, la VLAN 1 puede pasar sin etiquetar. La VLAN 1 es el tráfico de administración del AP. Después el AP obtiene la dirección La dirección IP debe comunicarse con el AC para negociar un túnel, y la VLAN 19 es el tráfico comercial, que es utilizado por la PC para acceder a la red externa o el reenvío de tráfico interno, por lo que se deben permitir 2 VLAN
Interfaz de enlace ascendente [interfaz que conecta el núcleo 1 y 2]
[FKT] puerto-grupo 2
[FKT-puerto-grupo-2] miembro del grupo GigabitEthernet 0/0/1 a GigabitEthernet 0/0/2
[FKT-GigabitEthernet0 / 0/2 ] puerto enlace-tipo troncal
[FKT-port-group-2] puerto troncal allow-pass vlan 1 19
Nota: El rol del grupo es el mismo que el anterior, aquí, dos interfaces de enlace ascendente se definen como troncales y se permite el paso del tráfico de las VLAN 1 y 19. G0 / 0/1 está conectado al núcleo 1, G0 / 0/2 está conectado al núcleo 2
3.2 La VLAN configurada por el
personal superior La VLAN del personal superior es 20, y el tráfico de gestión del AP inalámbrico y la VLAN 1 en la sala de visitantes debe pasar, por lo que la VLAN permitida es 1, 20
Explique que la idea de configuración es la misma que la de la sala de visitantes, y el efecto es el mismo, solo consulte las notas de la sala de visitantes.
system-view
[boss] vlan 20
[boss] port-group 1
[boss-port-group-1] group-member e0 / 0/2 a e0 / 0/22
[boss-port-group-1] enlace de puerto- escriba acceso
[boss-port-group-1] puerto predeterminado vlan 2
[boss] int e0 / 0/1
[boss-Ethernet0 / 0/1] puerto híbrido etiquetado vlan 20
[boss] port-group 2
[boss-port-group-2] group-member GigabitEthernet 0/0/1 a g0 / 0/2
[boss-port-group-2] puerto tipo enlace troncal
[boss-port- group-2] port trunk allow-pass vlan 1 20
3.3
Descripción de las VLAN que deben configurarse para las finanzas: La VLAN financiera es 21 y el tráfico de administración de la VLAN 1 debe pasar, por lo que las VLAN permitidas son 1, 21. Tenga en cuenta que las finanzas no son inalámbricas y el resto son similar a la sala de visitantes y el personal superior es similar a
la vista del sistema
[caiwu] vlan 21
[caiwu] puerto-grupo 1
[caiwu-puerto-grupo-1] miembro de grupo Ethernet 0/0/1 a e0 /
0/22 [caiwu-puerto-grupo-1] puerto acceso de tipo de enlace
[caiwu-puerto- grupo-1] puerto predeterminado vlan 21
[caiwu] port-group 2
[caiwu-port-group-2] group-member g0 /
0/1 to g0 / 0/2 [caiwu-port-group-2] puerto tipo de enlace troncal
[caiwu-port-group -2] puerto troncal permitir-pasar vlan 1 21
Se recomienda especialmente que defina una descripción en la interfaz del conmutador de enlace ascendente. Su función puede permitirle saber más sobre dónde está conectada la interfaz, lo cual es conveniente para la resolución de problemas o visualización posterior.
[FKT] int g0 /
0/1 [FKT-GigabitEthernet0 / 0/1] descripción conexión a Core-A g0 / 0/24
La descripción aquí significa que la interfaz está conectada a la interfaz G0 / 0/24 de Core A.
3.4 Las VLAN y las interfaces que deben configurarse en la capa central A.
Dado que el caso aquí solo muestra la sala de visitantes, el personal de alto nivel y las finanzas como ejemplos, solo se crea la VLAN 19 ~ 21, y el departamento de producción y el El departamento comercial tiene la misma configuración, por lo que no hay ahorro de recursos.
[Core-A] vlan lote 19 a 21 ,
Nota: Las VLAN 19 ~ 21 se crean en lotes. Todas las VLAN en la capa de acceso a continuación deben incluirse aquí. Debido a que los conmutadores a continuación están conectados a los núcleos A y B, todas las VLAN deben crearse para resumir todo el tráfico de VLAN.
[Core-A] interfaz g0 /
0/24 [Core-A-GigabitEthernet0 / 0/24] descripción conexión a fkt-g0 / 0/1
[Core-A-GigabitEthernet0 / 0/24] puerto tipo enlace troncal
[Core -A-GigabitEthernet0 / 0/24] troncal de puerto allow-pass vlan 1 19
Descripción: Esta interfaz es un conmutador conectado a la sala de invitados, y se realiza una descripción, y luego se permite que pase el tráfico de vlan 1 y 19, porque solo el tráfico de VLAN 1 y 19 pasa a través de la sala de invitados.
[Core-A] interfaz g0 /
0/23 [Core-A-GigabitEthernet0 / 0/23] descripción conexión a boss-g0 /
0/2 [Core-A-GigabitEthernet0 / 0/23] puerto tipo enlace troncal
[Core -A-GigabitEthernet0 / 0/23] troncal de puerto allow-pass vlan 1 20
Descripción: Esta interfaz es un conmutador conectado al jefe, se realiza una descripción y luego se permite que pase el tráfico de VLAN 1 y 20, porque solo puede pasar el tráfico de VLAN 1 y 20 en la sala de visitantes.
[Core-A] int g0 /
0/21 [Core-A-GigabitEthernet0 / 0/21] puerto tipo enlace troncal
[Core-A-GigabitEthernet0 / 0/21] puerto troncal allow-pass vlan 1 21
[Core-A -GigabitEthernet0 / 0/21] descripción conexión a caiwu-g0 / 0/1
Descripción: Esta interfaz se conecta al conmutador financiero, se realiza una descripción y luego se permite que pase el tráfico de las VLAN 1 y 21, porque solo el tráfico de las VLAN 1 y 21 pasa por la habitación de invitados.
Sugerencia especial: se recomienda describir la interfaz importante, para que pueda saber dónde conectarse de un vistazo, y la interfaz está marcada, es fácil evitar olvidar dónde está conectada la interfaz en el futuro, solo mire la configuración .
3.5 Las VLAN y las interfaces que deben configurarse para el núcleo B.
Dado que el caso solo ofrece ejemplos para salas de visitantes, personal de alto nivel y finanzas, solo se crean las VLAN 19 ~ 21 y se configuran el departamento de producción y el departamento comercial de la misma forma, por lo que se ahorran recursos y no hay configuración.
[Core-B] vlan lote 19 a 21
Nota: Las VLAN 19 ~ 21 se crean en lotes. Todas las VLAN en la capa de acceso a continuación deben incluirse aquí. Debido a que los conmutadores a continuación están conectados a los núcleos A y B, todas las VLAN deben crearse para resumir todo el tráfico de VLAN.
[Core-B] int g0 /
0/24 [Core-B-GigabitEthernet0 / 0/24] descripción conexión a FKT g0 /
0/2 [Core-B-GigabitEthernet0 / 0/24] puerto tipo enlace troncal
[Core- B-GigabitEthernet0 / 0/24] troncal de puerto allow-pass vlan 1 19
Descripción: Esta interfaz es un conmutador conectado a la sala de invitados, y se realiza una descripción, y luego se permite que pase el tráfico de vlan 1 y 19, porque solo el tráfico de VLAN 1 y 19 pasa a través de la sala de invitados.
[Core-B] int g0 /
0/23 [Core-B-GigabitEthernet0 / 0/23] puerto tipo enlace troncal
[Core-B-GigabitEthernet0 / 0/23] puerto troncal allow-pass vlan 1 20
[Core-B -GigabitEthernet0 / 0/23] descripción conexión al jefe g0 / 0/1
Descripción: Esta interfaz es un interruptor conectado al jefe, se hace una descripción y luego se permite que pase el tráfico de vlan 1 y 20, porque el visitante La sala solo tiene VLAN 1 y 20 pases de tráfico.
[Core-B] int g0 /
0/22 [Core-B-GigabitEthernet0 / 0/22] descripción conexión a caiwu g0 / 0/2
[Core-B-GigabitEthernet0 / 0/22] puerto tipo enlace troncal
[Core- B-GigabitEthernet0 / 0/22] troncal de puerto allow-pass vlan 1 21
Descripción: Esta interfaz se conecta al conmutador financiero, se realiza una descripción y luego se permite que pase el tráfico de las VLAN 1 y 21, porque solo el tráfico de las VLAN 1 y 21 pasa por la habitación de invitados.
Sugerencia especial: se recomienda describir la interfaz importante, para que pueda saber dónde conectarse de un vistazo, y la interfaz está marcada.
[Aquí, los dos enlaces entre Core-A y B aún no se han configurado. Esto se debe a que se configurarán juntos al configurar la agregación. Ese es para la agregación]
3.6
Análisis de la división de la interfaz entre el cortafuegos de salida y el conmutador central : El conmutador central y el cortafuegos de salida están en una estructura triangular. La interfaz debe estar dividida en VLAN en el conmutador, y luego la interfaz VLAN se utiliza para comunicarse con el cortafuegos. El firewall tiene dos formas de comunicarse con el conmutador, una es comunicarse a través de la interfaz VLAN y la segunda es comunicarse con el conmutador de tres capas a través del puerto de tres capas. Es mejor elegir el primero, esta estructura es relativamente simple y la configuración de enrutamiento es clara. El segundo método requiere la configuración de 2 VLAN y luego 2 segmentos de red para comunicarse con el firewall.
3.6.1 Configuración de Core-A
[Core-A] vlan 100
Descripción: Este 100 se utiliza para conectarse al firewall por separado
[Core-A] interfaz g0 /
0/22 [Core-A-GigabitEthernet0 / 0/22] enlace de puerto - escriba acceso
[Core-A-GigabitEthernet0 / 0/22] puerto predeterminado vlan 100
[Core-A-GigabitEthernet0 / 0/22] descripción conexión a FW g0 / 0/8
Descripción: Divida la interfaz en 100 y haga una descripción, Indicando que la interfaz g0 / 0/8 conectada al firewall
3.6.2 Configuración de Core-B
[Core-B] interfaz g0 /
0/21 [Core-B-GigabitEthernet0 / 0/21] puerto acceso de tipo de enlace
[Core-B-GigabitEthernet0 / 0/21] puerto predeterminado vlan 100
[ Core-B-GigabitEthernet0 / 0/21] descripción conexión a FW G0 / 0/7
Descripción: Divida la interfaz en 100 y haga una descripción para ilustrar la interfaz g0 / 0/7 conectada al firewall
3.6.3 Configuración de FW
system-view
[USG-GW] portswitch batch GigabitEthernet 0/0/7 a 0/0/8
Descripción: El significado de este comando es cambiar la interfaz de Capa 3 a la interfaz de Capa 2, el valor predeterminado es la interfaz de capa 3
[USG-GW] vlan 100
[USG-GW-vlan-100] puerto GigabitEthernet 0/0/7 a 0/0/8
Descripción: Se crea la VLAN 100 y se agrega G0 / 0/7 ~ 8 a la VLAN 100
3.7 Configuración del conmutador del núcleo y del conmutador del clúster del servidor
3.7.1 Conmutador del núcleo A y B
[Core-A] vlan 88
[Core-A] int g0 /
0/20 [Core-A-GigabitEthernet0 / 0/20] descripción conexión al servidor g0 /
0/2 [Core-A-GigabitEthernet0 / 0/20] puerto tipo enlace troncal
[Core-A-GigabitEthernet0 / 0/20] puerto troncal allow-pass vlan 1 88
Descripción: El troncal se configura aquí con el propósito de seguimiento Es conveniente administrar el conmutador del servidor, si no necesita administrarlo, puede pasar directamente la interfaz de acceso.
[Core-B] vlan 88
[Core-B] int g0 /
0/20 [Core-B-GigabitEthernet0 / 0/20] puerto tipo enlace troncal
[Core-B-GigabitEthernet0 / 0/20] puerto troncal permitir-pasar
Descripción de vlan 1 88 : El troncal se configura aquí para la conveniencia de la administración posterior del conmutador del servidor.Si no se requiere administración, se puede pasar directamente a través de la interfaz de acceso.
3.7.2
Vista del sistema de configuración del conmutador del
clúster del servidor [Cluster Server] vlan 88
[Cluster Server] puerto-grupo 1
[Cluster Server-puerto-grupo-1] grupo-miembro g0 / 0/1 a g0 / 0/2
[Cluster Server-puerto-grupo-1] puerto enlace-tipo troncal
[Cluster Server -port-group-1] port trunk allow-pass vlan 1 88
[Cluster Server-port-group-1] descripción conexión a Core-AB
Descripción: El primer grupo de puertos define la interfaz que se conecta al conmutador central como Trunk, y permitir que 1 y 88 pasen
[Cluster Server] puerto-grupo 2
[Cluster Server-port-group-2] group-member e0 / 0/1 a e0 / 0/2
[Cluster Server-Ethernet0 / 0/2] puerto acceso de tipo de enlace
[Cluster Server -Ethernet0 / 0/2] puerto predeterminado vlan 88
Descripción: Las 2 interfaces se utilizan para conectarse al servidor y se asignan a la VLAN 88 correspondiente.
Resumen: Hasta ahora, la implementación de toda la VLAN se ha dividido en interfaces. El punto a tener en cuenta aquí es Trunk. De forma predeterminada, solo se permite el paso del tráfico de la VLAN 1 y no se permite el resto del tráfico, por lo que debe permitir que pase el tráfico requerido Si no está seguro de cuál Para pasar el tráfico de VLAN, puede permitir directamente todo. Si tiene alguna pregunta o hay errores u omisiones en el texto, deje un mensaje y señale que el blogger lo modificará tan pronto como lo vea. Gracias por su apoyo.
Este artículo se publicó por primera vez en la cuenta pública: Network Road Blog