网络设备应用7(医院网络交换机配置)要点课件.ppt

1、1网络设备应用（医院网络交换机配置 ） 尚邦治2006.82十四十四.医院网络交换机配置 n设计一个医院的局域网。由一个3526交换机和两个3026E交换机组成一个网络，配置4个VLAN。nVLAN按端口划分。VLAN要跨交换机。nVLAN2名为“门诊”，VLAN2分布在两个3026E和3526上；nVLAN4名为“住院”，VLAN4分布在两个3026E和3526上；nVLAN3名为“服务器”，分布在3526上。nVLAN5名为“办公”，分布在三个交换机上。nVLAN2、VLAN4和VLAN5可以通过第三层访问VLAN3，但是部门之间不能互访。 3VLAN 2VLAN 4三层交换机S3526二

2、层交换机S3026E-1二层交换机S3026E-2VLAN3：192.168.3.1/24VLAN 2VLAN 5VLAN 4VLAN 5服务器门珍住院办公门珍住院办公组网示意图4n1)组网总体规划n网络结构如上图所示，nS3526的端口e0/1与S3026E的端口e0/1相连，nS3526的端口e0/24与S3026E的端口e0/1相连；n端口配置为trunk，且允许所有VLAN通过。5n2) VLAN的划分的划分nS3526上创建VLAN2VLAN5，端口e0/2-e0/8属于门诊部VLAN2，端口e0/9-e0/12属于住院部VLAN4，端口e0/13-e0/18属于服务器组VLAN3，

3、将服务器组部署在S3526上的VLAN3，端口e0/19-e0/23属于办公VLAN5，n在两台二层交换机S3026E上分别创建门诊、住院和办公三个VLAN，即VLAN2、VLAN4、VLAN5，配置端口e0/2-e0/12属于VLAN2，端口e0/13-e0/18属于VLAN4，端口e0/19-e0/24属于VLAN5。 6n3) IP地址的划分地址的划分n门诊部IP为192.168.2.2-192.168.2.254，网关为192.168.2.1；n服务器组IP为192.168.3.2-192.168.3.254，网关为192.168.3.1；n住院部IP为192.168.4.2-192.

4、168.4.254，网关为192.168.4.1；n办公部IP为192.168.5.2-192.168.5.254，网关为192.168.5.1；7交换机配置 n4)在三层交换机在三层交换机S3526上划分上划分VLANnQuidway sysname S3526n配置门诊部VLAN为VLAN2nS3526vlan 2nS3526vlan2 port Ethernet 0/2 to Ethernet 0/8n配置住院部VLAN为VLAN4nS3526vlan3vlan 4nS3526vlan4 port Ethernet 0/9 to Ethernet 0/12n配置服务器组VLAN为VLAN

5、3nS3526vlan2vlan 3nS3526-vlan3 port Ethernet 0/13 to Ethernet 0/18n配置办公部VLAN为VLAN5nS3526vlan4vlan 5nS3526vlan5 port Ethernet 0/19 to Ethernet 0/238n5) 在二层交换机在二层交换机S3026E-1上划分上划分VLANnQuidway sysname S3026E-1n配置门诊部VLAN为VLAN2nS3026E-1vlan 2nS3026E-1 vlan2 port Ethernet 0/2 to Ethernet 0/12n配置住院部VLAN为VL

6、AN4nS3026E-1 vlan2vlan 4nS3026E-1 vlan4 port Ethernet 0/13 to Ethernet 0/18n配置办公部VLAN为VLAN5nS3026E-1 vlan4vlan 5nS3026E-1 vlan5 port Ethernet 0/19 to Ethernet 0/249n6) 在二层交换机在二层交换机S3026E-2上划分上划分VLANn与在二层交换机S3026E-1上的配置完全相同。10n7)配置三台交换机之间链路为配置三台交换机之间链路为trunk链路链路n配置三层交换机S3526的e0/1和e0/24端口nS3526interfa

7、ce e0/1nS3526 -Ethernet0/1 port link-type trunknS3526 -Ethernet0/1 port trunk permit vlan allnS3526 -Ethernet0/1interface e0/24nS3526 -Ethernet0/24 port link-type trunknS3526 -Ethernet0/24 port trunk permit vlan alln配置二层交换机S3026E-1的e0/1端口nS3026E-1interface e0/1nS3026E-1 -Ethernet0/1 port link-type t

8、runknS3026E-1 -Ethernet0/1 port trunk permit vlan alln配置二层交换机S3026E-2的e0/1端口n与在二层交换机S3026E-1上的配置完全相同。118)第一次第一次网络连通性测试网络连通性测试n按照组网图将相应的主机或服务器与交换机相连，按照IP地址的规划，分配给每台主机相应的IP地址；n验证同一部门能否互通？如门诊部的两台主机能否互通？不同部门能否互通？如门诊部和住院部的两台主机能否互通？试分析为什么？n首先，可以看到，同一部门之间的任意两台主机都可以互通，因为它们属于同一VLAN，而且交换机之间链路允许所有VLAN通过；而不同部门的

9、任意两台主机都不能互通，因为它们属于不同的VLAN，在二层被隔离了，并且，它们的IP地址也分属不同的网段。因此需要在三层交换机上启用路由功能，使不同部门能够互通。也就是在三层交换机的相应VLAN接口配置IP地址，启用三层路由转发。12n9) 在三层交换机在三层交换机S3526上启用三层路由转发功能上启用三层路由转发功能n在三层交换机的VLAN接口上配置IP地址，启用三层路由转发功能，每个VLAN接口的IP地址作为相应部门主机的网关，这样就可以保证不同部门之间的互通。 13n配置门诊部的网关nS3526interface vlan 2nS3526-Vlan-interface2ip add 19

10、2.168.2.1 255.255.255.0n配置服务器组的网关nS3526-Vlan-interface2interface vlan 3nS3526-Vlan-interface3ip add 192.168.3.1 255.255.255.014n配置住院部的网关nS3526-Vlan-interface3interface vlan 3nS3526-Vlan-interface4ip add 192.168.4.1 255.255.255.0n配置办公部的网关nS3526-Vlan-interface4interface vlan 5nS3526-Vlan-interface5ip

11、add 192.168.5.1 255.255.255.0 15n10)第二次第二次验证网络连通性验证网络连通性n请验证任意两个部门的主机能否互通，并解释为什么？n由于启用了三层路由功能，分属不同部门的主机在通信时，报文先被转发到发送主机的网关，S3526交换机的VLAN间路由模块，根据该报文的目的IP地址，进行路由转发，这样能够保证不同部门之间互通。n但是，这样不符合我们的设计要求，因此需要进一步加上访问控制，对三层交换机S3526的路由转发进行控制。16n11)设置设置访问控制：访问控制：n配置访问控制列表nS3526acl number 3001n禁止所有网段互访nS3526-acl-a

12、dv-3001rule 10 deny ip source any destination any17n允许所有部门访问服务器组nS3526-acl-adv-3001rule 20 permit ip source 192.168.3.0 0.0.0.255 destination any nS3526-acl-adv-3001rule 30 permit ip source any destination 192.168.3.0 0.0.0.255n在交换机上应用访问控制列表nS3526packet-filter ip-group 300118n12) 第三次第三次验证网络连通性验证网络连通

13、性n验证同一部门内部的连通性；n验证不同部门之间的连通性；n验证门诊、住院和办公三个部门与服务器组的连通性。n最后，经过验证，局域网的设计满足设计要求。19n局域网网络的维护举例n修改内容：将S3026E-1中原属于住院部VLAN4的e0/13端口，重新分配给门诊部VLAN2。20n13)住院部住院部VLAN中减少一个端口中减少一个端口n将S3026E-1中的e0/13端口从住院部VLAN4中除去，nS3026E-1vlan 4nS3026E-1 vlan4undo port Ethernet 0/1314)门诊部门诊部VLAN中增加一个端口中增加一个端口将S3026E-1中的e0/13端口加入门诊部VLAN2，S3026E-1 vlan4 vlan 2S3026E-1 vlan2 port Ethernet 0/1321谢 谢 ！