对于规模不大的小型局域网而言,通常没有配备对网络设备进行统一管理的系统。交换机、路由器等网络设备的管理处于离散状态,对这些设备的管理通常也是一对一的管理。在用户对网络要求不高的情况下,如接入计算机设备数少,也不在意广播等对网络性能造成的影响等等,这种情况只要在核心交换机上做简单配置把计算机等接入设备放在一个VLAN中就可以了。但是,随着接入设备的增加,这种情况的网络性能会越来越差,更不用谈网络的管理、网络的安全了。近几年,随着网络安全问题的日益突出,用户网络安全意识的加强,更多的用户开始慢慢地对网络安全、性能提出了自己的要求。例如:要求严格控制设备的接入,要求一条物理线路只能接一个指定的物理设备,要求对一些接入设备设置访问控制权限等等。这些要求,必然导致在网络采用性能好,可管理的网络设备,也对网络设备的管理提出更高的要求。在没有配备统一的网络管理系统的情况下,网络管理员通常采用离散化一对一的管理。一对一管理的前提是要为网络中的设备配置管理IP(主要是交换机)。

小型局域网交换机的管理IP配置一般有两种方式:(1)交换机的管理IP分散在不同的VLAN中;(2)将交换机的管理IP集中在一个VLAN中。下面,就以华为交换机设备为例,分别介绍这两种配置方法。

         假设拓扑结构如下:

wKioL1lk35zzcPGqAAE-C0M1DQw805.jpg-wh_50

拓扑图说明:

1VLAN 10

网段192.168.10.0/24,网关192.168.10.1S3700-1只接属于VLAN 10的计算机

2VLAN 20

网段192.168.20.0/24,网关192.168.20.1S3700-2只接属于VLAN 20的计算机

3VLAN 30

网段192.168.30.0/24,网关192.168.30.1,因为某些原因,VLAN 40无法直接接到核心交换机,只能通过S3700-3进行级联,S3700-3除了GE0/0/2端口用于接S3700-4,其他接口只接属于VLAN 30的计算机

4VLAN 40

网段192.168.40.0/24,网关192.168.40.1S3700-4只接属于VLAN 40的计算机

5)所有网关配置在核心交换机S5700上。

6)各PC的配置

PC1IP  192.168.10.2/24   网关 192.168.10.1

PC2IP  192.168.20.2/24   网关 192.168.20.1

PC3IP  192.168.30.2/24   网关 192.168.30.1

PC4IP  192.168.40.2/24   网关 192.168.40.1

一、交换机的管理IP分散在各自的子网中

采用这种方法,交换机的管理IP可以直接从它服务的VLAN对应的网段中取一个当作管理IP使用。

假设:S3700-1的管理IP192.168.10.254S3700-2的管理IP192.168.20.254S3700-3的管理IP192.168.30.254S3700-4的管理IP192.168.40.254

1)核心交换机S5700上做如下配置:

<Huawei>system-view

[Huawei]vlan batch 10 20 30 40

[Huawei]interface Vlanif 10

[Huawei-Vlanif10]ip address 192.168.10.1 24

[Huawei-Vlanif10]quit

[Huawei]interface Vlanif 20

[Huawei-Vlanif20]ip address 192.168.20.1 24

[Huawei-Vlanif20]quit

[Huawei]interface Vlanif 30

[Huawei-Vlanif30]ip address 192.168.30.1 24

[Huawei-Vlanif30]quit

[Huawei]interface Vlanif 40

[Huawei-Vlanif40]ip address 192.168.40.1 24

[Huawei-Vlanif40]quit

[Huawei]interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-typetrunk

[Huawei-GigabitEthernet0/0/2]port trunkallow-pass vlan 10

[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 20

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3]port link-typetrunk

[Huawei-GigabitEthernet0/0/3]port trunkallow-pass vlan 30 40

2)接入交换机S3700-1上做如下配置:

<Huawei>system-view

[Huawei]vlan 10

[Huawei-vlan10]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 10

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Vlanif 10

[Huawei-Vlanif10]ip address 192.168.10.25424

[Huawei-Vlanif10]quit

[Huawei]interface Ethernet 0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 10

[Huawei-Ethernet0/0/2]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.10.1

其中

ip address 192.168.10.254 24 配置的就是这台交换机的管理IP

ip route-static 0.0.0.0 0.0.0.0 192.168.10.1这条路由相当于给该交换机的管理IP配置默认网关(将交换机想象成一台计算机就不难理解了)。

3)接入交换机S3700-2上做如下配置:

<Huawei>system-view

[Huawei]vlan 20

[Huawei-vlan20]quit

[Huawei]interface Vlanif 20

[Huawei-Vlanif20]ip address 192.168.20.25424

[Huawei-Vlanif20]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 20

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 20

[Huawei-Ethernet0/0/2]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.20.1

4接入交换机S3700-3上做如下配置:

<Huawei>system-view

[Huawei]vlan batch 30 40

[Huawei]interface Vlanif 30

[Huawei-Vlanif30]ip address 192.168.30.25424

[Huawei-Vlanif30]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 30 40

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-typetrunk

[Huawei-GigabitEthernet0/0/2]port trunkallow-pass vlan 40

[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 30

[Huawei-Ethernet0/0/2]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.30.1

其中:

port trunk allow-pass vlan 30 40 要放行两个VLAN,因为VLAN40是“借道”S3700-3GigabitEthernet0/0/1端口。

5接入交换机S3700-4上做如下配置

<Huawei>system-view

[Huawei]vlan 40

[Huawei-vlan40]quit

[Huawei]interface Vlanif 40

[Huawei-Vlanif40]ip address 192.168.40.25424

[Huawei-Vlanif40]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 40

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 40

[Huawei-Ethernet0/0/2]quit

[Huawei]ip route-static 0.0.0.00.0.0.0 192.168.40.1

二、将交换机的管理IP集中在一个VLAN

采用交换机管理IP集中在一个VLAN中的方法思想是:多创建一个VLAN,多分配一个网段,并在核心交换机上配置该VLAN的网关,其它交换机上也添加这个管理VLAN,并配置位于该VLAN内的网段的IP地址且默认路由(即网关)指向核心交换机中该VLAN的地址。

假设在这个网络中要用于管理的VLAN ID200,分配的网段为192.168.200.0/24,网关为192.168.200.254S5700的管理IP192.168.200.254S3700-1的管理IP192.168.200.1S3700-2的管理IP192.168.200.2S3700-3的管理IP192.168.200.3S3700-4的管理IP192.168.200.4

1)核心交换机S5700上做如下配置:

<Huawei>system-view

[Huawei]vlan batch 10 20 30 40 200

[Huawei]interface Vlanif 10

[Huawei-Vlanif10]ip address 192.168.10.1 24

[Huawei-Vlanif10]quit

[Huawei]interface Vlanif 20

[Huawei-Vlanif20]ip address 192.168.20.1 24

[Huawei-Vlanif20]quit

[Huawei]interface Vlanif 30

[Huawei-Vlanif30]ip address 192.168.30.1 24

[Huawei-Vlanif30]quit

[Huawei]interface Vlanif 40

[Huawei-Vlanif40]ip address 192.168.40.1 24

[Huawei-Vlanif40]quit

[Huawei]interface Vlanif 200

[Huawei-Vlanif200]ip address192.168.200.254 24

[Huawei-Vlanif200]quit

[Huawei]interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-typetrunk

[Huawei-GigabitEthernet0/0/2]port trunkallow-pass vlan 10 200

[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 20 200

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface GigabitEthernet 0/0/3

[Huawei-GigabitEthernet0/0/3]port link-typetrunk

[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan30 40 200

为了能让VLAN 200的管理VLAN能通行,必须在GigabitEthernet0/0/1-3端口都放行VLAN200

2接入交换机S3700-1上做如下配置

<Huawei>system-view

[Huawei]vlan batch 10 200

[Huawei]interface Vlanif 200

[Huawei-Vlanif200]ip address 192.168.200.124

[Huawei-Vlanif200]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.200.254

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 10 200

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 10

GigabitEthernet 0/0/1除了放行VLAN 10还要放行管理VLAN 200

3接入交换机S3700-2上做如下配置

<Huawei>system-view

[Huawei]vlan batch 20 200

[Huawei]interface Vlanif 200

[Huawei-Vlanif200]ip address 192.168.200.224

[Huawei-Vlanif200]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.200.254

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunk allow-passvlan 20 200

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 20

同理,在GigabitEthernet 0/0/1也要放行管理VLAN 200

4接入交换机S3700-3上做如下配置:

<Huawei>system-view

[Huawei]vlan batch 30 40 200

[Huawei]interface Vlanif 200

[Huawei-Vlanif200]ip address 192.168.200.324

[Huawei-Vlanif200]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.200.254

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 30 40 200

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet 0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 30

[Huawei-Ethernet0/0/2]quit

[Huawei]interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-typetrunk

[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan40 200

因为VLAN 40“借道”S3700-3,因此S3700-3GigabitEthernet 0/0/1端口要放行的除了VLAN 200的管理端口还要放行VLAN 40

5接入交换机S3700-4上做如下配置

<Huawei>system-view

[Huawei]vlan batch 40 200

[Huawei]interface Vlanif 200

[Huawei-Vlanif200]ip address 192.168.200.424

[Huawei-Vlanif200]quit

[Huawei]ip route-static 0.0.0.0 0.0.0.0192.168.200.254

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass vlan 40 200

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]interface Ethernet0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 40