我也是IT這個行業的新人,但我還算幸運已經在神州數碼網絡公司實習了半年。其他的不說,我先說點關於建設局域網的一些心得吧,希望對各位有點用,當然也希望各位批評指正。
在我接觸的局域網中大部分都很簡單,簡單到一說就明白的地步,但是現在想想我在上學那會還是不知如何去做,至少是不敢肯定應該怎麼做。所以我在這裏寫出來一種方法,希望對各位有用。
在下面的這個例子當中,我以一個學校的網絡來說明情況。因爲我覺得很有代表性,可以觸類旁通。網絡的拓撲圖如下:
下面我想把整個網絡進行概述一下。線路是網通的10M光纖,然後接防火牆,防火牆再接核心路由交換機DCRS-7608,核心再接匯聚層的交換機DCRS-5824,匯聚到核心走單模光纖,接入層交換機是DCS-2026E和DCS-3926S。接入到匯聚走的是六類雙絞線,有百兆也有千兆的,具體見上圖。
首先我們從運營商的線路開始說起。一般都是10M光纖,或者100M的光纖。那麼這根線都是由運營商負責把光纜接到機房裏並且把光纖融接好的。所以這時要提前對運營商說與這根線相接的是什麼樣的接口,比如LC接口。同時運營商還會給IP方面的信息:有幾個IP可以用,另外下一跳是哪個IP,DNS是什麼都會給的。這些信息一般都會給單位的信息科的相關人員的。
在防火牆上一般做NAT轉換,也就是把內部的地址轉成公網的地址,另外還有路由,指一條默認路由,把內部的數據發佈到公網上;再指幾條往局域網的路由,其他的基本就不做什麼了。這樣就可以讓內部的PC上網了。至於一些防病毒之類的操作在此勿略不講。在此只講個大致的思路,並不求細。
核心與匯聚相接的端口都是TRUNK的。匯聚層的交換機上的所有端口也全都是TRUNK的。接入層交換機與匯聚相接的端口是TRUNK,其他端口均屬於某一個VLAN。管理VLAN用的是VLAN1,這樣在校園的任何地方都可以進行交換機的管理,安全不是問題,首先學生不知管理地址,另外還有telnet的用戶名和密碼進行第二道防護,還有超級管理員的密碼進行第三道防護,所以不用擔心安全。我們在匯聚層上進行VLAN間訪問的控制。當然如果你想得到更高的安全極別,完全可以只讓本VLAN的信息通過,而不讓VLAN1的數據通過,這時即使學生知道管理地址,根本就不能和VLAN1進行通訊了,當然更不用說進行控制了。
核心所配置的內容爲:VLAN和VLAN的地址,但不加任何端口到VLAN中,這裏的VLAN地址也就是電腦的網關。還有一條默認路由到防火牆的內網口,這樣就可以實現上網,而且可以實現VLAN間互訪。爲了減少網絡的流量,不會讓VLAN間的廣播互相干擾需要在TRUNK端口上限定允許通過哪些VLAN的數據。在此項目中我是在匯聚層交換機配置的,讓接入層VLAN的數據和VLAN1的數據都通過的。
這樣當PC要上網時,數據會直接到核心,然後核心會把數據轉發給防火牆,防火牆再把數據往公網上傳,至於說這個數據再往後怎麼走,往哪裏走,那就是網通的事了。
如果各位有不明白的和指正的請告知。