1、1网络设备应用(医院网络交换机配置 ) 尚邦治2006.82十四十四.医院网络交换机配置 n设计一个医院的局域网。由一个3526交换机和两个3026E交换机组成一个网络,配置4个VLAN。nVLAN按端口划分。VLAN要跨交换机。nVLAN2名为“门诊”,VLAN2分布在两个3026E和3526上;nVLAN4名为“住院”,VLAN4分布在两个3026E和3526上;nVLAN3名为“服务器”,分布在3526上。nVLAN5名为“办公”,分布在三个交换机上。nVLAN2、VLAN4和VLAN5可以通过第三层访问VLAN3,但是部门之间不能互访。 3VLAN 2VLAN 4三层交换机S3526二
2、层交换机S3026E-1二层交换机S3026E-2VLAN3:192.168.3.1/24VLAN 2VLAN 5VLAN 4VLAN 5服务器门珍住院办公门珍住院办公组网示意图4n1)组网总体规划n网络结构如上图所示,nS3526的端口e0/1与S3026E的端口e0/1相连,nS3526的端口e0/24与S3026E的端口e0/1相连;n端口配置为trunk,且允许所有VLAN通过。5n2) VLAN的划分的划分nS3526上创建VLAN2VLAN5,端口e0/2-e0/8属于门诊部VLAN2,端口e0/9-e0/12属于住院部VLAN4,端口e0/13-e0/18属于服务器组VLAN3,
3、将服务器组部署在S3526上的VLAN3,端口e0/19-e0/23属于办公VLAN5,n在两台二层交换机S3026E上分别创建门诊、住院和办公三个VLAN,即VLAN2、VLAN4、VLAN5,配置端口e0/2-e0/12属于VLAN2,端口e0/13-e0/18属于VLAN4,端口e0/19-e0/24属于VLAN5。 6n3) IP地址的划分地址的划分n门诊部IP为192.168.2.2-192.168.2.254,网关为192.168.2.1;n服务器组IP为192.168.3.2-192.168.3.254,网关为192.168.3.1;n住院部IP为192.168.4.2-192.
4、168.4.254,网关为192.168.4.1;n办公部IP为192.168.5.2-192.168.5.254,网关为192.168.5.1;7交换机配置 n4)在三层交换机在三层交换机S3526上划分上划分VLANnQuidway sysname S3526n配置门诊部VLAN为VLAN2nS3526vlan 2nS3526vlan2 port Ethernet 0/2 to Ethernet 0/8n配置住院部VLAN为VLAN4nS3526vlan3vlan 4nS3526vlan4 port Ethernet 0/9 to Ethernet 0/12n配置服务器组VLAN为VLAN
5、3nS3526vlan2vlan 3nS3526-vlan3 port Ethernet 0/13 to Ethernet 0/18n配置办公部VLAN为VLAN5nS3526vlan4vlan 5nS3526vlan5 port Ethernet 0/19 to Ethernet 0/238n5) 在二层交换机在二层交换机S3026E-1上划分上划分VLANnQuidway sysname S3026E-1n配置门诊部VLAN为VLAN2nS3026E-1vlan 2nS3026E-1 vlan2 port Ethernet 0/2 to Ethernet 0/12n配置住院部VLAN为VL
6、AN4nS3026E-1 vlan2vlan 4nS3026E-1 vlan4 port Ethernet 0/13 to Ethernet 0/18n配置办公部VLAN为VLAN5nS3026E-1 vlan4vlan 5nS3026E-1 vlan5 port Ethernet 0/19 to Ethernet 0/249n6) 在二层交换机在二层交换机S3026E-2上划分上划分VLANn与在二层交换机S3026E-1上的配置完全相同。10n7)配置三台交换机之间链路为配置三台交换机之间链路为trunk链路链路n配置三层交换机S3526的e0/1和e0/24端口nS3526interfa
7、ce e0/1nS3526 -Ethernet0/1 port link-type trunknS3526 -Ethernet0/1 port trunk permit vlan allnS3526 -Ethernet0/1interface e0/24nS3526 -Ethernet0/24 port link-type trunknS3526 -Ethernet0/24 port trunk permit vlan alln配置二层交换机S3026E-1的e0/1端口nS3026E-1interface e0/1nS3026E-1 -Ethernet0/1 port link-type t
8、runknS3026E-1 -Ethernet0/1 port trunk permit vlan alln配置二层交换机S3026E-2的e0/1端口n与在二层交换机S3026E-1上的配置完全相同。118)第一次第一次网络连通性测试网络连通性测试n按照组网图将相应的主机或服务器与交换机相连,按照IP地址的规划,分配给每台主机相应的IP地址;n验证同一部门能否互通?如门诊部的两台主机能否互通?不同部门能否互通?如门诊部和住院部的两台主机能否互通?试分析为什么?n首先,可以看到,同一部门之间的任意两台主机都可以互通,因为它们属于同一VLAN,而且交换机之间链路允许所有VLAN通过;而不同部门的
9、任意两台主机都不能互通,因为它们属于不同的VLAN,在二层被隔离了,并且,它们的IP地址也分属不同的网段。因此需要在三层交换机上启用路由功能,使不同部门能够互通。也就是在三层交换机的相应VLAN接口配置IP地址,启用三层路由转发。12n9) 在三层交换机在三层交换机S3526上启用三层路由转发功能上启用三层路由转发功能n在三层交换机的VLAN接口上配置IP地址,启用三层路由转发功能,每个VLAN接口的IP地址作为相应部门主机的网关,这样就可以保证不同部门之间的互通。 13n配置门诊部的网关nS3526interface vlan 2nS3526-Vlan-interface2ip add 19
10、2.168.2.1 255.255.255.0n配置服务器组的网关nS3526-Vlan-interface2interface vlan 3nS3526-Vlan-interface3ip add 192.168.3.1 255.255.255.014n配置住院部的网关nS3526-Vlan-interface3interface vlan 3nS3526-Vlan-interface4ip add 192.168.4.1 255.255.255.0n配置办公部的网关nS3526-Vlan-interface4interface vlan 5nS3526-Vlan-interface5ip
11、add 192.168.5.1 255.255.255.0 15n10)第二次第二次验证网络连通性验证网络连通性n请验证任意两个部门的主机能否互通,并解释为什么?n由于启用了三层路由功能,分属不同部门的主机在通信时,报文先被转发到发送主机的网关,S3526交换机的VLAN间路由模块,根据该报文的目的IP地址,进行路由转发,这样能够保证不同部门之间互通。n但是,这样不符合我们的设计要求,因此需要进一步加上访问控制,对三层交换机S3526的路由转发进行控制。16n11)设置设置访问控制:访问控制:n配置访问控制列表nS3526acl number 3001n禁止所有网段互访nS3526-acl-a
12、dv-3001rule 10 deny ip source any destination any17n允许所有部门访问服务器组nS3526-acl-adv-3001rule 20 permit ip source 192.168.3.0 0.0.0.255 destination any nS3526-acl-adv-3001rule 30 permit ip source any destination 192.168.3.0 0.0.0.255n在交换机上应用访问控制列表nS3526packet-filter ip-group 300118n12) 第三次第三次验证网络连通性验证网络连通
13、性n验证同一部门内部的连通性;n验证不同部门之间的连通性;n验证门诊、住院和办公三个部门与服务器组的连通性。n最后,经过验证,局域网的设计满足设计要求。19n局域网网络的维护举例n修改内容:将S3026E-1中原属于住院部VLAN4的e0/13端口,重新分配给门诊部VLAN2。20n13)住院部住院部VLAN中减少一个端口中减少一个端口n将S3026E-1中的e0/13端口从住院部VLAN4中除去,nS3026E-1vlan 4nS3026E-1 vlan4undo port Ethernet 0/1314)门诊部门诊部VLAN中增加一个端口中增加一个端口将S3026E-1中的e0/13端口加入门诊部VLAN2,S3026E-1 vlan4 vlan 2S3026E-1 vlan2 port Ethernet 0/1321谢 谢 !
