网络设备应用7(医院网络交换机配置)要点

1网络设备应用（医院网络交换机配置）尚邦治2006.82十四.医院网络交换机配置设计一个医院的局域网。由一个3526交换机和两个3026E交换机组成一个网络，配置4个VLAN。VLAN按端口划分。VLAN要跨交换机。VLAN2名为“门诊”，VLAN2分布在两个3026E和3526上；VLAN4名为“住院”，VLAN4分布在两个3026E和3526上；VLAN3名为“服务器”，分布在3526上。VLAN5名为“办公”，分布在三个交换机上。VLAN2、VLAN4和VLAN5可以通过第三层访问VLAN3，但是部门之间不能互访。3VLAN2VLAN4三层交换机S3526二层交换机S3026E-1二层交换机S3026E-2VLAN3：192.168.3.1/24VLAN2VLAN5VLAN4VLAN5服务器门珍住院办公门珍住院办公组网示意图41)组网总体规划网络结构如上图所示，S3526的端口e0/1与S3026E的端口e0/1相连，S3526的端口e0/24与S3026E的端口e0/1相连；端口配置为trunk，且允许所有VLAN通过。52)VLAN的划分S3526上创建VLAN2－VLAN5，端口e0/2-e0/8属于门诊部VLAN2，端口e0/9-e0/12属于住院部VLAN4，端口e0/13-e0/18属于服务器组VLAN3，将服务器组部署在S3526上的VLAN3，端口e0/19-e0/23属于办公VLAN5，在两台二层交换机S3026E上分别创建门诊、住院和办公三个VLAN，即VLAN2、VLAN4、VLAN5，配置端口e0/2-e0/12属于VLAN2，端口e0/13-e0/18属于VLAN4，端口e0/19-e0/24属于VLAN5。63)IP地址的划分门诊部IP为192.168.2.2-192.168.2.254，网关为192.168.2.1；服务器组IP为192.168.3.2-192.168.3.254，网关为192.168.3.1；住院部IP为192.168.4.2-192.168.4.254，网关为192.168.4.1；办公部IP为192.168.5.2-192.168.5.254，网关为192.168.5.1；7交换机配置4)在三层交换机S3526上划分VLAN[Quidway]sysnameS3526配置门诊部VLAN为VLAN2[S3526]vlan2[S3526–vlan2]portEthernet0/2toEthernet0/8配置住院部VLAN为VLAN4[S3526–vlan3]vlan4[S3526–vlan4]portEthernet0/9toEthernet0/12配置服务器组VLAN为VLAN3[S3526–vlan2]vlan3[S3526-vlan3]portEthernet0/13toEthernet0/18配置办公部VLAN为VLAN5[S3526–vlan4]vlan5[S3526–vlan5]portEthernet0/19toEthernet0/2385)在二层交换机S3026E-1上划分VLAN[Quidway]sysnameS3026E-1配置门诊部VLAN为VLAN2[S3026E-1]vlan2[S3026E-1–vlan2]portEthernet0/2toEthernet0/12配置住院部VLAN为VLAN4[S3026E-1–vlan2]vlan4[S3026E-1–vlan4]portEthernet0/13toEthernet0/18配置办公部VLAN为VLAN5[S3026E-1–vlan4]vlan5[S3026E-1–vlan5]portEthernet0/19toEthernet0/2496)在二层交换机S3026E-2上划分VLAN与在二层交换机S3026E-1上的配置完全相同。107)配置三台交换机之间链路为trunk链路配置三层交换机S3526的e0/1和e0/24端口[S3526]interfacee0/1[S3526-Ethernet0/1]portlink-typetrunk[S3526-Ethernet0/1]porttrunkpermitvlanall[S3526-Ethernet0/1]interfacee0/24[S3526-Ethernet0/24]portlink-typetrunk[S3526-Ethernet0/24]porttrunkpermitvlanall配置二层交换机S3026E-1的e0/1端口[S3026E-1]interfacee0/1[S3026E-1-Ethernet0/1]portlink-typetrunk[S3026E-1-Ethernet0/1]porttrunkpermitvlanall配置二层交换机S3026E-2的e0/1端口与在二层交换机S3026E-1上的配置完全相同。118)第一次网络连通性测试按照组网图将相应的主机或服务器与交换机相连，按照IP地址的规划，分配给每台主机相应的IP地址；验证同一部门能否互通？如门诊部的两台主机能否互通？不同部门能否互通？如门诊部和住院部的两台主机能否互通？试分析为什么？首先，可以看到，同一部门之间的任意两台主机都可以互通，因为它们属于同一VLAN，而且交换机之间链路允许所有VLAN通过；而不同部门的任意两台主机都不能互通，因为它们属于不同的VLAN，在二层被隔离了，并且，它们的IP地址也分属不同的网段。因此需要在三层交换机上启用路由功能，使不同部门能够互通。也就是在三层交换机的相应VLAN接口配置IP地址，启用三层路由转发。129)在三层交换机S3526上启用三层路由转发功能在三层交换机的VLAN接口上配置IP地址，启用三层路由转发功能，每个VLAN接口的IP地址作为相应部门主机的网关，这样就可以保证不同部门之间的互通。13配置门诊部的网关[S3526]interfacevlan2[S3526-Vlan-interface2]ipadd192.168.2.1255.255.255.0配置服务器组的网关[S3526-Vlan-interface2]interfacevlan3[S3526-Vlan-interface3]ipadd192.168.3.1255.255.255.014配置住院部的网关[S3526-Vlan-interface3]interfacevlan3[S3526-Vlan-interface4]ipadd192.168.4.1255.255.255.0配置办公部的网关[S3526-Vlan-interface4]interfacevlan5[S3526-Vlan-interface5]ipadd192.168.5.1255.255.255.01510)第二次验证网络连通性请验证任意两个部门的主机能否互通，并解释为什么？由于启用了三层路由功能，分属不同部门的主机在通信时，报文先被转发到发送主机的网关，S3526交换机的VLAN间路由模块，根据该报文的目的IP地址，进行路由转发，这样能够保证不同部门之间互通。但是，这样不符合我们的设计要求，因此需要进一步加上访问控制，对三层交换机S3526的路由转发进行控制。1611)设置访问控制：配置访问控制列表[S3526]aclnumber3001禁止所有网段互访[S3526-acl-adv-3001]rule10denyipsourceanydestinationany17允许所有部门访问服务器组[S3526-acl-adv-3001]rule20permitipsource192.168.3.00.0.0.255destinationany[S3526-acl-adv-3001]rule30permitipsourceanydestination192.168.3.00.0.0.255在交换机上应用访问控制列表[S3526]packet-filterip-group30011812)第三次验证网络连通性验证同一部门内部的连通性；验证不同部门之间的连通性；验证门诊、住院和办公三个部门与服务器组的连通性。最后，经过验证，局域网的设计满足设计要求。19局域网网络的维护举例修改内容：将S3026E-1中原属于住院部VLAN4的e0/13端口，重新分配给门诊部VLAN2。2013)住院部VLAN中减少一个端口将S3026E-1中的e0/13端口从住院部VLAN4中除去，[S3026E-1]vlan4[S3026E-1–vlan4]undoportEthernet0/1314)门诊部VLAN中增加一个端口将S3026E-1中的e0/13端口加入门诊部VLAN2，[S3026E-1–vlan4]vlan2[S3026E-1–vlan2]portEthernet0/1321谢谢！