客户诉求:1、ERP服务器使用专线连接外网,且需要被外网访问,便于高管随时用手机审批;2、有线网络和WIFI划分为不同的VLAN,并且分别用两宽带上网。 这个需要很简单,其实WIFI至少应该分为办公用和访客用,访客只允许访问外网,而禁止访问内网,但是客户说了不需要,那咱们就按照客户的简单要求来完成了,拓扑如下: 从上图可以看出:爱快路由器上连三条链路,1和2是两条普通的拨号宽带,3是固定IP的城域网,爱快路由器下连核心交换机:锐捷RG-NBS5710-24GT4SFP-E,而核心旁挂一台AC控制器,且下连着三台锐捷RG-NBS3100-24GT4SFP二层交换机,用来接入电脑及其他网络设备,当然也连接了几个无线AP。 关于无线网线的配置,不在本文讨论范围,需要的朋友,可以翻看笔者前面的文章,不便之处敬请谅解。 秉承着自上而下的原则,配置过程及方法如下: 一、光猫的配置 是的,你没看错,光猫也是需要配置的,首先,用笔记本电脑连接光猫网口,获取到IP后,打开登录页面,记住选择“快速装维入口”,再用背面的普通用户登录 登录后,依次点击“状态”>“配置向导”>“桥接方式,PC自己拨号获取IP上网”,很遗憾,第二条普通拨号是新安装的,设备比较新,我们没找到登录页面上有“快速装维入口”,直接登录后,找了半天,也没发现哪里可以改为“桥接模式”,幸运的是,光猫背面有安装师傅的手机号码,拨打后,说明来意,十五分钟内远程修改为“桥接模式”了,还挺快的,为电信安装师傅点赞。 二、爱快路由器的配置: Lan口默认为192.168.1.1,为避免与光猫IP冲突,修改为192.168.11.1。 1、第一条拨号宽带的配置:点Wan1,绑定网卡,输入宽带账号密码,点保存即可,只要输入无误,很快就能连上网。在此,顺便再次吐槽一下100段大内网; 2、第二条宽带配置方法是一样的,换个账号密码而已,果然也是100段大内网,衰…… 3、固定IP的城域网配置:点Wan3,绑定网卡,接入方式选择静态IP,然后填写IP地址、子网掩码、网关;注意,“将此线路设置为默认网关”,点保存即可 4、静态路由的配置:这里其实是配置回程路由,对应核心交换机里面的默认路由,需要配置两条:一条是去192.168.1.0/24(有线网络),一条是去无线网络192.168.3.0/24 注意,目的地址必须填写为网络号,子网掩码255.255.255.0,表示整个网段,网关192.168.11.2,准确来说,应该称为“下一跳”,它是路由器Lan口连接的核心交换机的三层接口的IP地址。 5、端口分流配置,也就是说指定不同的网段走不同的宽带: (1)服务器(192.168.1.2-192.168.1.20,其实暂时没那么多服务器,预留一下为好)走固定IP的城域网 (2)192.168.3.0/24,WiFi网段走第一条宽带,如下图所示: (3)192.168.1.21-192.168.1.254,走第二条宽带,操作同1,就不贴图了。总之,分流配置完成以后,就是下图所示: 6、端口映射,为了使服务器上相应的服务,能在互联网上被访问,我们必须要配置端口映射,举例如下: 注意:为安全起见,外网端口建议不采用实际的服务端口,图中9002为非常用端口,改不改无所谓了,但是像远程桌面3389这种端口,早就已经是高危、高风险了,所以强烈建议修改为自定义的端口,不让黑客轻易摸上门。 三、核心交换机的配置 service dhcp //开启DHCP服务 ! ip dhcp pool 101 //配置DHCP地址池——有线网段 lease 0 8 0 network 192.168.1.0 255.255.255.0 192.168.1.21 192.168.1.240 dns-server 192.168.1.9 61.177.7.1 default-router 192.168.1.1 ! ip dhcp pool 103 //配置DHCP地址池——无线网段 lease 0 8 0 network 192.168.3.0 255.255.255.0 192.168.3.21 192.168.3.240 dns-server 192.168.1.9 61.177.7.1 default-router 192.168.3.1 ! ip name-server 114.114.114.114 //配置DNS服务器 ! vlan range 101,103 创建vlan101(有线)和103(无线) ! interface GigabitEthernet 0/1 no switchport //1口上连路由器,配置为三层口,并且配置IP地址 ip address 192.168.11.2 255.255.255.0 ! interface VLAN 101 //配置VLAN101的接口IP地址 ip address 192.168.1.1 255.255.255.0 ! interface VLAN 103 //配置VLAN101的接口IP地址 ip address 192.168.3.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.11.1 //配置默认路由,上外网从1口出去,网关地址192.168.11.1就是路由器的LAN口IP地址 enable service web-server http //开启核心交换机的WEB管理,然后用浏览器登录交换机,把端口划分到相应的VLAN,在WEB页面操作会非常的方便 四、二层交换机配置,略,无非是把创建VLAN,把端口划入VLAN,上联口配置为trunk模式。 全部配置完成后, 别忘记保存,并且把各个设备的配置文件导出保存一份,哪天设备有问题的时候,直接导入即可。 |
|