林臻 福建省泉州市農(nóng)業(yè)學(xué)校

一、引言

隨著交換機(jī)技術(shù)的發(fā)展，可網(wǎng)管交換機(jī)在局域網(wǎng)中的使用越來越頻繁。特別是在中小規(guī)劃的局域網(wǎng)，利用可網(wǎng)管交換機(jī)進(jìn)行網(wǎng)絡(luò)管理可以有效解決網(wǎng)絡(luò)的大部分問題、大量地節(jié)省管理成本。

可網(wǎng)管交換機(jī)是指通過管理端口執(zhí)行監(jiān)控交換機(jī)端口、劃分VLAN、設(shè)置Trunk端口等管理功能的交換機(jī)。對于有一定規(guī)模的網(wǎng)絡(luò)，可網(wǎng)管交換機(jī)通常超過10臺以上。要對這些可網(wǎng)管的交換機(jī)進(jìn)行管理，除了要給每臺可網(wǎng)管交換機(jī)配置管理IP外，還要合理的規(guī)劃、配置、管理可網(wǎng)管交換機(jī)IP。

二、拓?fù)浣Y(jié)構(gòu)

用以下拓?fù)浣Y(jié)構(gòu)為例，在華為eNSP模擬器中模擬。

拓?fù)鋱D說明

VLAN 網(wǎng)段 網(wǎng)關(guān) 其它VLAN 10 192.168.10.0/24 192.168.10.1 S3700-1只接屬于VLAN 10的計(jì)算機(jī)VLAN 20 192.168.20.0/24 192.168.20.1 S3700-2只接屬于VLAN 20的計(jì)算機(jī)VLAN 30 192.168.30.0/24 192.168.30.1 VLAN 40無法直接接到核心交換機(jī)，通過S3700-3進(jìn)行級聯(lián)，S3700-3除了GE0/0/2端口用于接S3700-4，其他接口只接屬于VLAN 30的計(jì)算機(jī)VLAN 40 192.168.40.0/24 192.168.40.1 S3700-4只接屬于VLAN 40的計(jì)算機(jī)

PC的配置說明

PC IP 網(wǎng)關(guān)PC1 192.168.10.2/24 192.168.10.1 PC2 192.168.20.2/24 192.168.20.1 PC3 192.168.30.2/24 192.168.30.1 PC4 192.168.40.2/24 192.168.40.1

三、方案規(guī)劃

可網(wǎng)管交換機(jī)管理IP的規(guī)劃通常有兩種方案可以選擇。

方案1：將可網(wǎng)管交換機(jī)的管理IP直接規(guī)劃于當(dāng)前交換機(jī)負(fù)責(zé)的VLAN網(wǎng)段中管理。

方案2：將可網(wǎng)管交換機(jī)的管理IP獨(dú)立并集中在單獨(dú)的VLAN中管理。

四、實(shí)現(xiàn)配置

1. 方案1的實(shí)現(xiàn)

采用這種方法，交換機(jī)的管理IP可以直接從它服務(wù)的VLAN對應(yīng)的網(wǎng)段中取一個(gè)當(dāng)作管理IP使用。

假 設(shè)：S3700-1的 管 理 IP為192.168.10.254；S3700-2的 管理 IP為192.168.20.254；S3700-3的管理 IP為192.168.30.254；S3700-4的管理IP為192.168.40.254。

（1） 核心交換機(jī)S5700配置：

（2） 接入交換機(jī)S3700-1配置：

(3）接入交換機(jī)S3700-2上所做配置與s3700-1類似。

(4）接入交換機(jī)S3700-3配置：

其中：

(5）接入交換機(jī)S3700-4上所做配置與s3700-1、S3700-2類似。

2.方案2的實(shí)現(xiàn)

采用交換機(jī)管理IP集中在一個(gè)VLAN中思路是：創(chuàng)建一個(gè)管理交換機(jī)管理IP地址的VLAN，多分配一個(gè)網(wǎng)段，并在核心交換機(jī)上配置該VLAN的網(wǎng)關(guān)，其它交換機(jī)上添加這個(gè)管理VLAN，配置位于該VLAN內(nèi)的網(wǎng)段的IP地址且默認(rèn)路由指向核心交換機(jī)中該VLAN的地址。

假設(shè)：用于管理交換機(jī)IP地址的VLAN ID為200，網(wǎng)段192.168.200.0/24，網(wǎng) 關(guān)192.168.200.254。S5700的 管 理 IP為192.168.200.254；S3700-1的 管 理 IP 為 192.168.200.1；S3700-2的管理IP為192.168.200.2；S3700-3的管理IP為192.168.200.3；S3700-4的管理IP為192.168.200.4。

（1） 核心交換機(jī)S5700配置：

為了能讓VLAN 200的管理VLAN能通行，必須在GigabitEthernet0/0/1-3端口都放行VLAN200。

（2） 接入交換機(jī)S3700-1配置：

在GigabitEthernet 0/0/1除了放行VLAN 10還要放行管理VLAN 200。

（3）接入交換機(jī)S3700-2上所做配置與s3700-1類似。

（4）接入交換機(jī)S3700-3配置：

因?yàn)閂LAN 40“借道”S3700-3，因此S3700-3的GigabitEthernet 0/0/1端口要放行的除了VLAN 200的管理端口還要放行VLAN 40。

(5）接入交換機(jī)S3700-4上所做配置與s3700-1、S3700-2類似。

五、總結(jié)

方案1的配置難度比方案2小，但是方案2將管理IP集中一個(gè)VLAN管理，可以更好的提高交換機(jī)管理的安全性，依托VLAN的優(yōu)勢在后續(xù)做更多的安全策略。