一、组网需求
某企业单位内网用户多,不同的部门为方便网络管理,配置不同的网段IP,同时为了避免广播风暴及网络攻击的波及范围,在核心3层交换机上划分多个vlan,作为每个vlan的网关。
二、组网拓扑
三、配置要点
本用例以1台EG,1台核心交换机和1 台接入交换机为例说明配置过程。要点如下:
1、配置EG的内网接口IP,以及去往内网的回指路由。
注意:设备在运行的情况,如果要修改内网口IP地址,不建议通过“快速配置”对内网接口IP地址做修改,避免其它误操作导致之前已经选定并配置好的流控方案丢失。
2、核心交换机的配置如下:
a、在核心交换机配置3 个VLAN,配置下连接入交换机的端口为trunk 口;
b、在核心交换机配置3 个SVI 口,分别作为3 个VLAN 对应IP 子网的网关接口,配置对应的IP 地址;
c、配置去往互联网的默认路由;
4、分别在3 台接入交换机创建VLAN,为各VLAN 分配Access 口,指定上连核心交换机的trunk 口。
四、配置步骤
1、出口EG的配置:
1、点击网络配置---->接口基本设置 ,设置内网接口的IP地址(设备在运行的情况,如果要修改内网口IP地址,不建议通过“快速配置”对内网接口IP地址做修改,避免其它误操作导致之前已经选定并配置好的流控方案丢失)。
2、在“网络配置---->路由/负载----->普通路由”添加去往内网的回指路由,如下图所示:
从网络拓扑中可以看出,内网是有多个网段地址,都是属于192.168.x.x网段的地址,那我们就可以汇总成192.168.0.0/16
以上web操在命令行下生成的命令如下:
Ruijie>enable
Ruijie#conf
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)#interface gigabitEthernet 0/0
Ruijie(config-if-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0
Ruijie(config-if-GigabitEthernet 0/0)#exit
Ruijie(config)#ip route 192.168.0.0 255.255.0.0 172.16.1.2 ------->配置去往内网的回指汇总路由
Ruijie(config-if)# end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
核心交换机的配置:
注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置千兆接口为例。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 10 ------>创建VLAN 10
Ruijie(config-vlan)#vlan 20 ------> 创建VLAN 20
Ruijie(config-vlan)#vlan 30 ------>创建VLAN 30
Ruijie(config-vlan)#exit
Ruijie(config)#interface GigabitEthernet 0/1 ------>该端口连接EG的内网接口
Ruijie(config-if)#ip address 172.16.1.2 255.255.255.0 ------>配置与EG内网接口同网段的IP地址
Ruijie(config)#interface range GigabitEthernet 0/2-4 ------>配置该端口Gi 0/2、Gi0/3、Gi0/4 都为trunk 口,这些端口连接下连的接入层交换机
Ruijie(config-if-range)#switchport mode trunk
Ruijie(config-if-range)#exit
Ruijie(config)#interface vlan 10 ------>创建SVI 10
Ruijie(config-if)#ip address 192.168.10.254 255.255.255.0 ------>配置vlan 10的网关地址
Ruijie(config-if)#interface vlan 20 ------> 创建SVI 20
Ruijie(config-if)#ip address 192.168.20.254 255.255.255.0 ------> 配置vlan 20的网关地址
Ruijie(config-if)#interface vlan 30 ------>创建SVI 30
Ruijie(config-if)#ip address 192.168.30.254 255.255.255.0 ------> 配置vlan 20的网关地址
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 ------>配置去往互联网的默认路由
Ruijie(config-if)# end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
接入交换机Switch A上的配置:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 10
Ruijie(config-vlan)#vlan 20
Ruijie(config-vlan)#exit
Ruijie(config)#interface range GigabitEthernet 0/2-12
Ruijie(config-if)#switchport access vlan 10 ------>将端口Gi0/2-12 分配给VLAN 10
Ruijie(config-if)#interface range GigabitEthernet 0/13-24
Ruijie(config-if)#switchport access vlan 20 ------> 将端口Gi0/13-24 分配给VLAN 20
Ruijie(config-if)#exit
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if)#switchport mode trunk ------> 指定上连核心交换机的trunk 口
Ruijie(config-if)#switchport mode ACC ------> 指定上连电脑的ACC 口
Ruijie(config-if)# end ------>退出到特权模式
Ruijie#write ------> 确认配置正确,保存配置
五、配置验证:
1、出口EG的配置检查:
在Ruijie#模式下show ip route ,能看到一条标号为“S”的静态路由
2、核心交换机配置检查
通过show vlan 和 show interface switchport查看vlan 信息,包括vlan id、名称、状态、包括的端口。
六、注意问题
1)配置静态路由的下一跳有2种表现形式(下一跳ip地址和本地出接口),若配置为本地出接口,则认为该静态路由为直连路由,在以太网链路,需要解析每个目的地址的arp信息,若在网络出口配置默认路由,下一跳为本地出接口,则会有大量的arp解析,占用大量的arp表,若对方关闭arp代理功能,甚至导致网络不通。若配置为下一跳ip地址,则为普通的递归路由;
2)建议在以太网链路,配置静态路由的时候,配置为下一跳的ip地址,若是在网络出口配置默认路由,切勿配置为本地出接口,正确配置如下:
Ruijie(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2 // 目的地址是192.168.2.0/24的数据包,转发给192.168.3.2