系统集成需求分析

网络工程设计与系统集成

了原来的端口，到了一个心得交换机某个端口，那么就必须重新定义。

2.基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的,MAC地址划分的，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN的方法最大的优点就是当用户物理位置移动时，即从一个交换机换到其它交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致的交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须不停的配置。

3.基于IP划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个组播就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由进行扩展，当然这种方法不适合局域网，主要是效率不高。

鉴于当前VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上满足用户在具体使用过程中的需求，减轻用户在VLAN的具体使用和维护中的工作量，多数采用根据交换机端口来划分VLAN的方法，本次网络采用基于端口划分VLAN的方式来实现，下面是具体代码。 划分VLAN的代码：

25

网络工程设计与系统集成

Switch>en Switch#conf t Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#vlan 2 Switch(config-vlan)#exit

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode trunk //将0/1端口设置为串口 Switch(config-if)#interface fastEthernet 0/2

Switch(config-if)#switchport access vlan 1 //将0/2端口划到VLAN1中 Switch(config-if)#interface fastEthernet 0/3

Switch(config-if)#switchport access vlan 2 //将0/3端口划到VLAN2中

配置扩展访问控制列表：

R(config)#access_list 101 permit tcp any host 150.208.160.3 eq pop3

R(config)#access_list 101 permit tcp any host 150.208.160.3 eq smtp

R(config)#access_list 101 permit tcp any host 150.208.160.3 eq www

R(config)#access_list 101 permit tcp any host 150.208.160.4 eq www

R(config)#access_list 101 deny ip any host 150.208.160.3 R(config)#access_list 101 deny ip any host 150.208.160.4 R(config)#access_list 101 deny icmp any any echo

26

网络工程设计与系统集成

R(config)#access_list 101 deny tcp any any eq 4444 R(config)#access_list 101 deny udp any any eq tftp R(config)#access_list 101 deny udp any any eq 1434 R(config)#access_list 101 deny tcp any any eq 445 R(config)#access_list 101 deny tcp any any eq 139 R(config)#access_list 101 deny udp any any eq netbios-ss R(config)#access_list 101 deny tcp any any eq 135 R(config)#access_list 101 deny udp any any eq 135 R(config)#access_list 101 deny udp any any eq netbios-ns R(config)#access_list 101 deny udp any any eq netbious-dgm R(config)#access_list 101 deny udp any any eq 445 R(config)#access_list 101 deny tcp any any eq 593 R(config)#access_list 101 deny udp any any eq 593 R(config)#access_list 101 deny tcp any any eq 5800 R(config)#access_list 101 deny tcp any any eq 5900 R(config)#access_list 101 deny udp any any eq 6667 R(config)#access_list 101 deny 255 any any R(config)#access_list 101 deny 0 any any R(config)#access_list 101 permit ip any any R(config)#interface s0/0

27

网络工程设计与系统集成

R(config-if) access-grroup 110 in

VRRP+MSTP的配置（负载均衡与链路冗余） 1.路由交换机配置VRRP组 (1)

主核心设备VRRP配置 interface vlan 10

ip address 192.168.10.10 255.255.255.0 standby 1 ip 192.168.10.1 standby 1 preempt standby 1 priority 254 interface vlan 20

ip address 192.168.20.10 255.255.255.0 standby 1 ip 192.168.20.1 standby 1 preempt (2)

备份核心设备VRRP配置 interface vlan 10

ip address 192.168.10.11 255.255.255.0 standby 1 ip 192.168.10.1 standby 1 preempt interface vlan 20

28