网络设备应用7(医院网络交换机配置)

1网络设备应用

（医院网络交换机配置

）

尚邦治2006.82十四.医院网络交换机配置设计一个医院的局域网。由一个3526交换机和两个3026E交换机组成一个网络，配置4个VLAN。VLAN按端口划分。VLAN要跨交换机。VLAN2名为“门诊”，VLAN2分布在两个3026E和3526上；VLAN4名为“住院”，VLAN4分布在两个3026E和3526上；VLAN3名为“服务器”，分布在3526上。VLAN5名为“办公”，分布在三个交换机上。VLAN2、VLAN4和VLAN5可以通过第三层访问VLAN3，但是部门之间不能互访。

3

VLAN2VLAN4三层交换机S3526二层交换机S3026E-1二层交换机S3026E-2VLAN3：192.168.3.1/24VLAN2VLAN5VLAN4VLAN5服务器门珍住院办公门珍住院办公

组网示意图41)组网总体规划网络结构如上图所示，S3526的端口e0/1与S3026E的端口e0/1相连，S3526的端口e0/24与S3026E的端口e0/1相连；端口配置为trunk，且允许所有VLAN通过。52)

VLAN的划分S3526上创建VLAN2－VLAN5，端口e0/2-e0/8属于门诊部VLAN2，端口e0/9-e0/12属于住院部VLAN4，端口e0/13-e0/18属于服务器组VLAN3，将服务器组部署在S3526上的VLAN3，端口e0/19-e0/23属于办公VLAN5，在两台二层交换机S3026E上分别创建门诊、住院和办公三个VLAN，即VLAN2、VLAN4、VLAN5，配置端口e0/2-e0/12属于VLAN2，端口e0/13-e0/18属于VLAN4，端口e0/19-e0/24属于VLAN5。

63)IP地址的划分门诊部IP为192.168.2.2-192.168.2.254，网关为192.168.2.1；服务器组IP为192.168.3.2-192.168.3.254，网关为192.168.3.1；住院部IP为192.168.4.2-192.168.4.254，网关为192.168.4.1；办公部IP为192.168.5.2-192.168.5.254，网关为192.168.5.1；7交换机配置

4)在三层交换机S3526上划分VLAN[Quidway]sysnameS3526配置门诊部VLAN为VLAN2[S3526]vlan2[S3526–vlan2]portEthernet0/2toEthernet0/8配置住院部VLAN为VLAN4[S3526–vlan3]vlan4[S3526–vlan4]portEthernet0/9toEthernet0/12配置服务器组VLAN为VLAN3[S3526–vlan2]vlan3[S3526-vlan3]portEthernet0/13toEthernet0/18配置办公部VLAN为VLAN5[S3526–vlan4]vlan5[S3526–vlan5]portEthernet0/19toEthernet0/2385)

在二层交换机S3026E-1上划分VLAN[Quidway]sysnameS3026E-1配置门诊部VLAN为VLAN2[S3026E-1]vlan2[S3026E-1–vlan2]portEthernet0/2toEthernet0/12配置住院部VLAN为VLAN4[S3026E-1–vlan2]vlan4[S3026E-1–vlan4]portEthernet0/13toEthernet0/18配置办公部VLAN为VLAN5[S3026E-1–vlan4]vlan5[S3026E-1–vlan5]portEthernet0/19toEthernet0/2496)

在二层交换机S3026E-2上划分VLAN与在二层交换机S3026E-1上的配置完全相同。107)配置三台交换机之间链路为trunk链路配置三层交换机S3526的e0/1和e0/24端口[S3526]interfacee0/1[S3526-Ethernet0/1]portlink-typetrunk[S3526-Ethernet0/1]porttrunkpermitvlanall[S3526-Ethernet0/1]interfacee0/24[S3526-Ethernet0/24]portlink-typetrunk[S3526-Ethernet0/24]porttrunkpermitvlanall配置二层交换机S3026E-1的e0/1端口[S3026E-1]interfacee0/1[S3026E-1-Ethernet0/1]portlink-typetrunk[S3026E-1-Ethernet0/1]porttrunkpermitvlanall配置二层交换机S3026E-2的e0/1端口与在二层交换机S3026E-1上的配置完全相同。118)第一次网络连通性测试按照组网图将相应的主机或服务器与交换机相连，按照IP地址的规划，分配给每台主机相应的IP地址；验证同一部门能否互通？如门诊部的两台主机能否互通？不同部门能否互通？如门诊部和住院部的两台主机能否互通？试分析为什么？首先，可以看到，同一部门之间的任意两台主机都可以互通，因为它们属于同一VLAN，而且交换机之间链路允许所有VLAN通过；而不同部门的任意两台主机都不能互通，因为它们属于不同的VLAN，在二层被隔离了，并且，它们的IP地址也分属不同的网段。因此需要在三层交换机上启用路由功能，使不同部门能够互通。也就是在三层交换机的相应VLAN接口配置IP地址，启用三层路由转发。129)

在三层交换机S3526上启用三层路由转发功能在三层交换机的VLAN接口上配置IP地址，启用三层路由转发功能，每个VLAN接口的IP地址作为相应部门主机的网关，这样就可以保证不同部门之间的互通。

13配置门诊部的网关[S3526]interfacevlan2[S3526-Vlan-interface2]ipadd192.168.2.1255.255.255.0配置服务器组的网关[S3526-Vlan-interface2]interfacevlan3[S3526-Vlan-interface3]ipadd192.168.3.1255.255.255.014配置住院部的网关[S3526-Vlan-interface3]interfacevlan3[S3526-Vlan-interface4]ipadd192.168.4.1255.255.255.0配置办公部的网关[S3526-Vlan-interface4]interfacevlan5[S3526-Vlan-interface5]ipadd192.168.5.1255.255.255.0

1510)第二次验证网络连通性请验证任意两个部门的主机能否互通，并解释为什么？由于启用了三层路由功能，分属不同部门的主机在通信时，报文先被转发到发送主机的网关，S3526交换机的VLAN间路由模块，根据该报文的目的IP地址，进行路由转发，这样能够保证不同部门之间互通。但是，这样不符合我们的设计要求，因此需要进一步加上访问控制，对三层交换机S3526的路由转发进行控制。1611)设置访问控制：配置访问控制列表[S3526]aclnumber3001禁止所有网段互访[S3526-acl-adv-3001]rule10denyipsourceanydestinationany17允许所有部门访问服务器组[S3526-acl-adv-3001]rule20permitipsource192.168.3.00.0.0.255destinationany[S3526-acl-adv-3001]rule30permitipsourceanydestination192.168.3.00.0.0.255在交换机上应用访问控制列表[S3526]packet-filterip-group30011812)

第三次验证网络连通性验证同一部门内部的连通性；验证不同部门之间的连通性；验证门诊、住院和办公三个部门与服务器组的连通性。最后，经过验证，局域网的设计满足设计要求。19局域网网络的维护举例修改内容：将S3026E-1中原属于住院部VLAN4的e0/13端口，重新分配给门诊部VLAN2。2013)住院部VLAN中减少一个端口将S3026E-1中的e0