客户诉求:1、ERP服务器使用专线连接外网,且需要被外网访问,便于高管随时用手机审批;2、有线网络和WIFI划分为不同的VLAN,并且分别用两宽带上网。
这个需要很简单,其实WIFI至少应该分为办公用和访客用,访客只允许访问外网,而禁止访问内网,但是客户说了不需要,那咱们就按照客户的简单要求来完成了,拓扑如下:
从上图可以看出:爱快路由器上连三条链路,1和2是两条普通的拨号宽带,3是固定IP的城域网,爱快路由器下连核心交换机:锐捷RG-NBS5710-24GT4SFP-E,而核心旁挂一台AC控制器,且下连着三台锐捷RG-NBS3100-24GT4SFP二层交换机,用来接入电脑及其他网络设备,当然也连接了几个无线AP。
关于无线网线的配置,不在本文讨论范围,需要的朋友,可以翻看笔者前面的文章,不便之处敬请谅解。
秉承着自上而下的原则,配置过程及方法如下:
一、光猫的配置
是的,你没看错,光猫也是需要配置的,首先,用笔记本电脑连接光猫网口,获取到IP后,打开登录页面,记住选择“快速装维入口”,再用背面的普通用户登录
登录后,依次点击“状态”>“配置向导”>“桥接方式,PC自己拨号获取IP上网”。很遗憾,第二条普通拨号是新安装的,设备比较新,我们没找到登录页面上有“快速装维入口”,直接登录后,找了半天,也没发现哪里可以改为“桥接模式”,如果要破解telecomadmin帐号,那太费事儿了,幸运的是,光猫背面有安装师傅的手机号码,拨打后,说明来意,十五分钟内远程修改为“桥接模式”了,还挺快的,为电信安装师傅点赞。
二、爱快路由器的配置:
Lan口默认为192.168.1.1,为避免与光猫IP冲突,修改为192.168.11.1。
1、第一条拨号宽带的配置:点Wan1,绑定网卡,输入宽带帐号密码,点保存即可,只要输入无误,很快就能连上网。在此,顺便再次吐槽一下100段大内网;
2、第二条宽带配置方法是一样的,换个帐号密码而已,果然也是100段大内网,衰……
3、固定IP的城域网配置:点Wan3,绑定网卡,接入方式选择静态IP,然后填写IP地址、子网掩码、网关;注意,“将此线路设置为默认网关”,点击保存即可
4、静态路由的配置:这里其实是配置回程路由,对应核心交换机里面的默认路由,需要配置两条:一条是去192.168.1.0/24(有线网络),一条是去无线网络192.168.3.0/24
注意,目的地址必须填写为网络号,子网掩码255.255.255.0,表示整个网段,网关192.168.11.2,准确来说,应该称为“下一跳”,它是路由器Lan口连接的核心交换机的三层接口的IP地址。
5、端口分流配置,也就是说指定不同的网段走不同的宽带:
服务器(192.168.1.2-192.168.1.20,其实暂时没那么多服务器,预留一下为好)走固定IP的城域网
192.168.3.0/24,WiFi网段走第一条宽带,如下图所示:
192.168.1.21-192.168.1.254,走第二条宽带,操作同1,就不贴图了。总之,分流配置完成以后,就是下图所示:
6、端口映射,为了使服务器上相应的服务,能在互联网上被访问,我们必须要配置端口映射,举例如下:
注意:为安全起见,外网端口建议不采用实际的服务端口,图中9002为非常用端口,改不改无所谓了,但是像远程桌面3389这种端口,早就已经是高危、高风险了,所以强烈建议修改为自定义的端口,不让黑客轻易摸上门。
三、核心交换机的配置
service dhcp //开启DHCP服务
!
ip dhcp pool 101 //配置DHCP地址池——有线网段
lease 0 8 0
network 192.168.1.0 255.255.255.0 192.168.1.21 192.168.1.240
dns-server 192.168.1.9 61.177.7.1
default-router 192.168.1.1
!
ip dhcp pool 103 //配置DHCP地址池——无线网段
lease 0 8 0
network 192.168.3.0 255.255.255.0 192.168.3.21 192.168.3.240
dns-server 192.168.1.9 61.177.7.1
default-router 192.168.3.1
!
ip name-server 114.114.114.114 //配置DNS服务器
!
vlan range 101,103 //创建vlan101(有线)和103(无线)
!
interface GigabitEthernet 0/1
no switchport //1口上连路由器,配置为三层口,并且配置IP地址
ip address 192.168.11.2 255.255.255.0
!
interface VLAN 101 //配置VLAN101的接口IP地址
ip address 192.168.1.1 255.255.255.0
!
interface VLAN 103 //配置VLAN101的接口IP地址
ip address 192.168.3.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.11.1 //配置默认路由,上外网从1口出去,网关地址192.168.11.1就是路由器的LAN口IP地址
enable service web-server http //开启核心交换机的WEB管理,然后用浏览器登录交换机,把端口划分到相应的VLAN,在WEB页面操作会非常的方便。
二层交换机配置,略,无非是把创建VLAN,把端口划入VLAN,上联口配置为trunk模式。
全部配置完成后, 别忘记保存,并且把各个设备的配置文件导出保存一份,哪天设备有问题的时候,直接导入即可。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注、点赞、转发,如有相同或者不同观点,欢迎评论。最近已开通“圈子”,有兴趣的朋友欢迎进圈共同学习和讨论。
#网络工程师##IT##锐捷#