我也是IT这个行业的新人,但我还算幸运已经在神州数码网络公司实习了半年。其他的不说,我先说点关于建设局域网的一些心得吧,希望对各位有点用,当然也希望各位批评指正。
在我接触的局域网中大部分都很简单,简单到一说就明白的地步,但是现在想想我在上学那会还是不知如何去做,至少是不敢肯定应该怎么做。所以我在这里写出来一种方法,希望对各位有用。
在下面的这个例子当中,我以一个学校的网络来说明情况。因为我觉得很有代表性,可以触类旁通。网络的拓扑图如下:
下面我想把整个网络进行概述一下。线路是网通的10M光纤,然后接防火墙,防火墙再接核心路由交换机DCRS-7608,核心再接汇聚层的交换机DCRS-5824,汇聚到核心走单模光纤,接入层交换机是DCS-2026E和DCS-3926S。接入到汇聚走的是六类双绞线,有百兆也有千兆的,具体见上图。
首先我们从运营商的线路开始说起。一般都是10M光纤,或者100M的光纤。那么这根线都是由运营商负责把光缆接到机房里并且把光纤融接好的。所以这时要提前对运营商说与这根线相接的是什么样的接口,比如LC接口。同时运营商还会给IP方面的信息:有几个IP可以用,另外下一跳是哪个IP,DNS是什么都会给的。这些信息一般都会给单位的信息科的相关人员的。
在防火墙上一般做NAT转换,也就是把内部的地址转成公网的地址,另外还有路由,指一条默认路由,把内部的数据发布到公网上;再指几条往局域网的路由,其他的基本就不做什么了。这样就可以让内部的PC上网了。至于一些防病毒之类的操作在此勿略不讲。在此只讲个大致的思路,并不求细。
核心与汇聚相接的端口都是TRUNK的。汇聚层的交换机上的所有端口也全都是TRUNK的。接入层交换机与汇聚相接的端口是TRUNK,其他端口均属于某一个VLAN。管理VLAN用的是VLAN1,这样在校园的任何地方都可以进行交换机的管理,安全不是问题,首先学生不知管理地址,另外还有telnet的用户名和密码进行第二道防护,还有超级管理员的密码进行第三道防护,所以不用担心安全。我们在汇聚层上进行VLAN间访问的控制。当然如果你想得到更高的安全极别,完全可以只让本VLAN的信息通过,而不让VLAN1的数据通过,这时即使学生知道管理地址,根本就不能和VLAN1进行通讯了,当然更不用说进行控制了。
核心所配置的内容为:VLAN和VLAN的地址,但不加任何端口到VLAN中,这里的VLAN地址也就是电脑的网关。还有一条默认路由到防火墙的内网口,这样就可以实现上网,而且可以实现VLAN间互访。为了减少网络的流量,不会让VLAN间的广播互相干扰需要在TRUNK端口上限定允许通过哪些VLAN的数据。在此项目中我是在汇聚层交换机配置的,让接入层VLAN的数据和VLAN1的数据都通过的。
这样当PC要上网时,数据会直接到核心,然后核心会把数据转发给防火墙,防火墙再把数据往公网上传,至于说这个数据再往后怎么走,往哪里走,那就是网通的事了。
如果各位有不明白的和指正的请告知。[/img]..
社区:
