弱電項目中，交換機的配置是無法避免的，大部分的項目都有可能會涉及到，尤其是機房等網絡項目，本期我們就通過一個實際項目案例來詳細了解交換機在項目中的應用配置，如果我們平時對交換機配置不熟，這個案例可以幫助大家理清思路。

一、學校項目配置案例

某校計算機系承辦市中考電腦閱卷任務，市教育局要求學校提供四百臺電腦供改卷教師使用，同時需要4臺配置性能較高的服務器以供四百臺客戶端電腦訪問。該校計算機系四百臺電腦分布在7間機房中，共由4個IP網段組成。

一、要求：

為了安全起見，要求處在4個網段的電腦相互之間不能訪問，但所有的電腦

均要求能訪問這4臺服務器，網絡拓撲圖如圖13-7所示。經研究，可以通過配置三層交換機以實現以上要求。

?二、具體配置及IP地址分配方案如下所述：

假設：

機房一、二的網線分別接在三層交換機的F0/1和F0/2端口；

機房三、四的網線分別接在三層交換機的F0/6和F0/7端口；

機房五、六的網線分別接在三層交換機的F0/11和F0/12端口；

機房七的網線接在三層交換機的F0/16端口；

服務器接在三層交換機的F0/21端口。?

各機房IP地址分配

機房一、二： IP：192.168.7.X/24，網關：192.168.7.254

機房三、四： IP：192.168.8.X/24，網關：192.168.8.254

機房五、六：IP：192.168.10.X/24，網關：192.168.10.254

機房七：IP：192.168.11.X/24，網關：192.168.11.254

服務器：IP：192.168.12.X/24 ?網關：192.168.12.254

三、網絡拓撲圖

四、配置三層交換機

? 本例以思科三層交換機為例，具體配置命令如下所示：有些重復的命令就不注釋了。

1、創建5個vlan

Switch>

Switch>en??//進入特權模式

Switch#config?//進入全局配置模式

Switch(config)#hostname 3560? ?//更改主機名為3560

3560(config)#vlan 10? ? ?//創建vlan10

3560(config-vlan)#vlan 20? ?//創建vlan20

3560(config-vlan)#vlan 30

3560(config-vlan)#vlan 40

3560(config-vlan)#vlan 50

3560(config-vlan)#exit

2、將端口劃分到相應的VLAN

3560(config)#int range f0/1-5? ? //進入端口1-5

3560(config-if-range)#switchport mode access? //將端口設置為access模式

3560(config-if-range)#switchport access vlan10? ?//將1-5端口加入到vlan10中

3560(config-if-range)#exit? ?//退出

3560(config)#int range f0/6-10??//進入端口6-10端口，其它命令與上面一樣

3560(config-if-range)#switchport mode access

3560(config-if-range)#switchport access vlan20

3560(config-if-range)#exit

3560(config)#int range f0/11-15

3560(config-if-range)#switchport mode access

3560(config-if-range)#switchport access vlan30

3560(config-if-range)#exit

3560(config)#int range f0/16-20

3560(config-if-range)#switchport mode access

3560(config-if-range)#switchporta ccess vlan40

3560(config-if-range)#exit

3560(config)#int range f0/21-22

3560(config-if-range)#switchport mode access

3560(config-if-range)#switchport access vlan50

3560(config-if-range)#exit

先為三層交換機開啟路由功能，這樣才能實現計算機互訪問

3560(config)#no ip domain-loo? ?//告訴Router不要對它不知道的字符串做DNS解析

3560 (config)#ip routing? ? //啟動路由

3、為各個VLAN分別配置IP地址

3560(config)#int vlan 10? ? //進入vlan10

3560(config-if)#ip add?192.168.7.254 255.255.255.0? //為vlan10分配子網掩碼與ip地址

3560(config-if)#no shut? ?//開啟端口

3560(config-if)#exit? ? ?//退出

3560(config)#int vlan 20

3560(config-if)#ip add 192.168.8.254 255.255.255.0

3560(config-if)#no shut

3560(config-if)#exit

3560(config)#int vlan 30

3560(config-if)#ip add 192.168.10.254 255.255.255.0

3560(config-if)#no shut

3560(config-if)#exit

3560(config)#int vlan 40

3560(config-if)#ip add 192.168.11.254 255.255.255.0

3560(config-if)#no shut

3560(config-if)#exit

3560(config)#int vlan 50

3560(config-if)#ip add 192.168.12.254 255.255.255.0

3560(config-if)#no shut

3560(config-if)#exit

4、創建訪問控制列表(ACL)

很多朋友可能會問，控制訪問列表有什么用，我們先來了解下它的作用。

訪問控制列表是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。

拒絕網絡192.168.7.0/24訪問這三個ip段(192.168.8.0/24、192.168.10.0/24、192.168.11.0/24)，而允許其他任何流量。

3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255

3560(config)#access-list 101 deny ip?192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255

3560(config)#access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.11.0 0.0.0.255

3560(config)#access-list 101 permit ip any any

拒絕網絡192.168.8.0/24訪問這三個ip段(192.168.7.0/24、192.168.10.0/24、192.168.11.0/24)，而允許其他任何流量。

3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255

3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255

3560(config)#access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.11.0? 0.0.0.255

3560(config)#access-list 102 permit ip any any

拒絕網絡192.168.10.0/24訪問這三個ip段(192.168.7.0/24、192.168.8.0/24、192.168.11.0/24)，而允許其他任何流量。

3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

3560(config)#access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

3560(config)#access-list 103 permit ip any any

拒絕網絡192.168.11.0/24訪問這三個ip段(192.168.7.0/24、192.168.8.0/24、192.168.10.0/24)，而允許其他任何流量。

3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.7.0 0.0.0.255

3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.8.0 0.0.0.255

3560(config)#access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255

3560(config)#access-list 104 permit ip any any

5、將ACL應用到相應的VLAN上

3560(config)#int vlan10

3560(config-if)#ipaccess-group 101 in

3560(config-if)#exit

就是vlan10就只能訪問101的列表。

3560(config)#int vlan20

3560(config-if)#ipaccess-group 102 in

3560(config-if)#exit

就是vlan20就只能訪問102的列表。

3560(config)#int vlan30

3560(config-if)#ipaccess-group 103 in

3560(config-if)#exit

就是vlan30就只能訪問103的列表。

3560(config)#int vlan40

3560(config-if)#ipaccess-group 104 in

3560(config-if)#exit

就是vlan40就只能訪問104的列表。

3560#wr? ? ?//保存配置文件

五、驗證測試

1、機房一、二的電腦Ping不通處在8、10、11網段的電腦，但可以Ping通處在12網段的服務器；

2、機房三、四的電腦Ping不通處在7、10、11網段的電腦，但可以Ping通12網段的服務器；

3、機房五、六的電腦Ping不通處在7、8、11網段的電腦，但可以Ping通12段的服務器；

4、機房七的電腦Ping不通處在7、8、10網段的電腦，但可以Ping通12網段的服務器。

弱電行業網投稿郵箱：rdhyw@qq.com

最新弱電資料更新—弱電智能化施工報價與施工指導2020年5月8日